SOC2/SOC3 | KPMG | JP

SOC2/SOC3

SOC2/SOC3

受託業務の内部統制に関して合理的な保証を提供するサービスのうち、Trustサービスの原則および規準(米国公認会計士協会/カナダ勅許会計士協会)に基づいて、情報システムのセキュリティ、可用性、処理のインテグリティ、機密保持およびプライバシーを対象とするものとして米国公認会計士協会が定めているサービス分類のことを指します。

関連するコンテンツ

受託業務に関する保証サービスとして、歴史的には米国監査基準書70号(SAS70)および日本公認会計士協会・監査基準委員会報告書第18号に基づく報告書が利用されてきましたが、これらは財務報告に関連する内部統制のみを対象としており、より広い、財務報告に関連しない領域を含む内部統制を対象としたいというニーズに応えるためにこのような分類が設けられました。
(なお、従来の財務報告に関連する内部統制を対象とした保証サービスは、SOC1と分類されています。)

SOC2およびSOC3では、Trustサービスの原則および規準に規定される5つの原則から、1つ以上を選択して評価対象とすることができます。

原則
概要
セキュリティ システムが(物理的、論理的双方の)未承認のアクセスから保護されている。
可用性 システムは、業務あるいは合意したとおりに、運用、利用のために利用可能である。
処理のインテグリティ システム処理は完全で、正確で、タイムリーで、承認されている。
機密保持 機密と指定された情報が、業務あるいは合意したとおりに、保護されている。
プライバシー 個人情報が、一般に公正妥当と認められるプライバシー原則に従って、業務あるいは合意したとおりに、収集、開示、利用、維持されている。

このうちSOC2では、評価対象となる各コントロールに対するテスト手続と結果の詳細が報告書に記載されること、および開示範囲がその内容を十分に理解している利用者に限定されることが特徴です。SOC3は、報告書の開示範囲が限定されず、インターネット等を通じた公開も可能であること、および別途Trustサービス(SysTrustおよびWebTrust)の認証を受けることで、SysTrust、WebTrustシールを掲出することができるのも特徴です。

ビジネスキーワード

ビジネスキーワード

最新キーワードをわかりやすく解説しています。

お問合せ

 

RFP(提案書依頼)

 

送信