内部統制に関する国際認証 SOC について、クラウドサービスの視点で考える
現在、多くの会社から様々なクラウドサービスが提供されています。どのサービスも、ホームページ上には「トラブルがないように運用しています」とアピールしていますが、本当に問題なく運用されているかどうかを客観的に判断するには、「クラウドベンダーの説明を鵜呑みにする」のではなく、「内部統制に関する外部監査」を確認する必要があります。
以下では、システム・クラウドサービスの内部統制に関する外部監査の国際認証「SOC (Service Organization Control) 」についてお伝えします。
SOC報告書とは何か?
SOCについて深く触れる前に、SOC報告書が必要とされた背景について見ていきましょう。
2001年に、ニューヨーク証券取引所に上場するアメリカのエネルギー取引企業であるエンロンが、監査法人であるアーサーアンダーセンを巻き込んで不正な会計処理を行ってきたことが明らかになりました。これによりエンロンが破綻するだけでなく、監査法人アーサーアンダーセンも解散に追い込まれました。
両企業に勤務していた社員だけでなく、エンロンの株主、エンロン株を組み込んで運用していた年金基金が打撃を受けるなど大きな影響を及ぼし、後に「エンロンショック」と呼ばれる大事件となりました。この事件以後、上場企業や巨大企業であっても容易に不正会計処理を行うことができるという反省から、米国ではサーベンス・オクスリー法、通称SOX法が2003年に制定されました。そして日本でも、日本版SOX法が2006年に制定され、「内部統制」に大きな注目が集まりました。
内部統制とは、組織において制定した業務プロセスに則って正しく業務を運用すること、またそれを支援するシステムの構築運用を指します。当初、内部統制という語は、会計報告や、不正取引を防止するためのプロセス整備と運用という狭義の意味で使われていました。しかし現在では、会計報告などに直結しないシステム・サービス運用における、情報セキュリティや機密性という観点でも「内部統制」の必要性が高まっています。
さて、SOCとは “Service Organization Control” の略で、アメリカ公認会計士協会 (AICPA) ならびにカナダ公認会計士協会 (CICA) が制定した、国際的なトラストサービスの原則と基準(Trust Services Principles and Criteria)に基づき評価されるものです。
SOCが、システムの「セキュリティ」「可用性」「処理の整合性」や、個人情報の取り扱いにおける「機密性」「プライバシー」に関する国際基準でありながら、会計士協会が制定した原則と基準に従っているというのは、内部統制について上記のような背景があるためです。
SOC報告書の種類とクラウドサービスの評価
SOC報告書にはいくつかのタイプがありますが、多く利用されている報告書はSOC 1とSOC 2となります。
(引用元: https://www.eyjapan.jp/services/advisory/column/2013-05-30.html)
この2つの大きな違いは、SOC1は財務報告の監査の一部として扱われる報告書ですが、SOC2は財務報告とは直結しない「セキュリティ」「可用性」「処理の整合性 (インテグリティ)」「機密性 (機密保持)」「プライバシー」の5つの構成要素からなる報告書である、ということです。
クラウドサービスを安全に高いセキュリティで利用したいお客様からすると、財務監査の補足資料として利用されシステムに関する品質評価について限定的なSOC1よりも、「セキュリティ」「可用性」「処理の整合性 (インテグリティ)」「機密性 (機密保持)」「プライバシー」といった、よりサービス自体に直結した5原則を用いる SOC2 のほうが、ニーズを満たしていることが分かります。
そして、クラウド時代に突入したからこそ、このSOC2の重要性がさらに高まっています。
オンプレミスのソフトウェアであれば、動作させるための環境も、環境構築も、データも、全て自社で管理できます。しかしこれがクラウドとなると、クラウドサービス提供者がこれらすべてを管理することになります。
システムを自社で管理しないことは、人員や費用の観点から大幅なコスト削減となります。しかし別の観点から見ると、クラウドサービスというブラックボックスに機密情報を預け、安定的なサービス運用がされるかどうかも分からない、といった、「クラウドサービス提供者に運命を委ねてしまわざるを得ない」というリスクがあります。
よって、クラウドサービスを提供する会社が「うちは大丈夫です」「安心です」ということを鵜呑みにするだけでなく、外部監査により客観的な信頼性を証明するための認証がますます重要になっています。そのため、国際認証として信頼性の高いSOC2が、クラウドサービスにおける認証のグローバルスタンダードになりつつあります。
さて、SOC2にはType1とType2という二つの種類があります。この分類は、Type1は「ある一日を評価するもの」であり、Type2は「最低半年以上の期間を評価する」というもの、というように評価期間の違いを示しています。そのため、期間が短いType1よりも、期間の長いType2のほうが取得に時間と労力がかかります。
現在、SOC2 Type2の取得は、欧米のクラウドサービスでは増加してきていますが、日本企業が提供するクラウドサービスではまだ非常に少ないのが実際のところです。
トラスト・ログインはSOC2 Type2を取得
当社、GMOグローバルサインが提供するクラウド型シングルサインオン製品 トラスト・ログイン は、2018年4月にSOC2 Type2を取得しました。
SOC報告書に、「セキュリティ」「可用性」「処理の整合性 (インテグリティ)」「機密性 (機密保持)」「プライバシー」という5つの構成要素全てにおいて、トラスト・ログインの運用における業務プロセスおよび内部統制環境が、継続的に一定の基準を満たしている、と記載されています。
今後、システムやクラウドサービスの利用・調達において、SOC認証取得の重要性は増していくことが考えられます。もし貴社において、「SOC認定取得製品のクラウド (SaaS) に対応したシングルサインオンサービスを優先的に利用したい」といった場合や、「SOC認定がないクラウドサービスは利用が推奨されていない」という場合は、ぜひトラスト・ログインを選択肢に入れて頂ければと思います。