• 更新日 : 2025年3月27日

SOCレポート（報告書）とは？種類や注目されている理由・注意点を解説

近年、多くの企業でクラウドサービスを導入する機会が増えており、SOCレポートが利用されることも多くなりました。

SOCレポートは、サービスのプロセス管理を評価した保証報告書です。利用したいサービスを安心して利用し続けられるかは、信頼性を示すSOCレポートを確認することでわかります。

本記事では、SOCレポートやレポートの種類について解説しています。また、SOCレポートを取得しているサービスにおいて、どのような点に注目して利用すべきか解説しているので、ぜひ参考にしてください。

SOCレポート（報告書）とは

SOCレポートとは、独立した外部委託先である監査人によって発行され、サービスのプロセス管理の状況が確認できる報告書のことです。

「System and Organization Controls」が略称であり、AICPA（米国公認会計士協会）が定めた基準に従い発行されます。

SOCレポートは、会計の世界で用いられており、公認会計士協会によって作成されました。

レポートには、自社が他の会社から委託されている業務にコンプライアンス違反がないかを確認できる証明となる内容が記載されています。

SOCレポートの種類

SOCレポートには、以下の3つの種類があります。

• SOC1
• SOC2
• SOC3

SOCレポートの種類は、保証する範囲の内容や利用する方の用途によって分類されています。

それぞれの内容について、詳しく解説していきます。

SOC1

SOC1は、企業の財務情報に関わるシステムのコントロールを評価するものです。主に、会計年度末の時点での財務報告プロセスと関連する内部統制の有効性を検証します。

SOC1は法人による監査がおこなわれる際に、提出を求められます。一方で、サービスのプロセス管理にはあまり関わりがない財務報告にかかる報告書であるため、重要度が低いです。

報告書を利用する方には、資産運用やクラウドサービスを運営する会社、データセンター、給与計算等の代行業務を行う業者が当てはまります。

SOC2

SOC2は、企業の情報セキュリティに焦点を当てたレポートです。

サービス提供者の情報セキュリティ管理を評価し、顧客のデータ保護を確保するための内部統制の有効性を検証します。

評価の対象は以下の5つです。

• セキュリティ
• 可用性
• 処理のインテグリティ
• 機密保持
• プライバシー

第三者の監査人によって実施された評価結果が含まれ、組織のセキュリティ体制の信頼性を証明します。

SOC2は、テストの実施までを含めた報告書であるSOC2 type2でもあるため、多くの企業が取得を目指している報告書です。また、代行業者以外にも受託内容を把握したい企業に利用されるといった特徴もあります。

そのため、自社がサービスの契約を検討している場合は、企業にSOC2の資料を提示してもらうことも可能です。

SOC3

SOC3は、SOC2と評価基準は変わらず、対象もSOC2と同様です。

ただし、SOC3の報告書はSOC2よりも簡易的で報告書を利用する方が限定されていないことが特徴といえます。

そのため、SOC3はホームページ等に掲載されており、誰でも閲覧可能です。

SOCレポートのタイプの違い

SOCレポートの「Type1」と「Type2」は、時間軸での違いを示します。

Type1はある特定時点での組織のコントロールの存在を確認し、その有効性を評価する仕組みです。

一方、Type2は一定期間にわたり、コントロールの運用と有効性を評価します。実際の運用状況がわかるため、より深い洞察が得られます。

企業はType1での合格は存在を示す一方、Type2は運用の信頼性を立証するものとして、顧客との信頼関係強化に役立てるでしょう。

SOCレポートが注目されている理由

SOCレポートが注目されている理由として、業務システムからクラウドサービスに移行し、情報セキュリティに対する意識が高まったことが挙げられます。

かつて、IT業界ではCMMI（Capacity Maturity ModeI Integration）が多く利用されていました。CMMIとは、開発プロジェクトが正しく管理され、最適化されているかを示すものです。レベル1からレベル5まであり、CMMIの数値が高ければ高いほど、開発の信頼を高められるメリットがあります。

しかしシステムの最適化が進められ、システムがクラウドサービスに移行されるようになったことで、SOCレポートが注目されるようになったのです。評価は監査法人などが実行し、高度の保証を与えています。

現在では、Microsoft AzureやAmazon Web Serviceなどのデータセンター機能を持つサービスや会計・給与などを管理するシステムサービスにも活用されています。

SOCレポートを取得しているクラウドサービスを利用するメリット

SOCレポートを取得しているサービスを利用するメリットとして、安心して企業にデータを委ねられる点が挙げられます。

レポートを取得している企業は、機密情報を保持できる適切なツールや手順が備わっています。

さらに、セキュリティ面を重要視する企業にとっては信頼度の証明にもなるレポートがある企業のサービスを利用すると顧客の信頼にも繋がるのです。

他社企業よりも優位な立場でブランド評価が高められ、競合優位性を築くことも可能になります。

SOCレポートを取得しているクラウドサービス利用時の注意点

SOCレポートは、企業サービスの信頼度を高めるために重要な報告書となりますが、利用時に注意しなければならない点もあります。

主な注意点は、以下の通りです。

• SOCレポートの保証範囲を確認する
• 前提として委託会社の内部統制は必要である

ここでは、サービスを利用する際の注意点について詳しく解説します。

SOCレポートの保証範囲を確認する

利用するサービスの運営会社がSOCレポートを取得しているのか、という観点のみを確認するだけでなく、保証範囲を確認することも重要です。

サービス評価の中でもSOC2のtype2を取得している企業は、5つの要素に基づいたシステム運用がなされており、テストの実施まで行われています。そのため、多くの企業ではSOC2type2の認証取得を目指しており、利用する際の1つの基準となるのです。

保証範囲を確認していない場合は、自社に必要となるサービスが含まれていない可能性があります。したがって、サービスを利用する際は必ず保証範囲を確認しましょう。

前提として委託会社の内部統制は必要である

SOCレポートでは、定められた項目に関連するプロセス管理が有効であるのは保証されますが、それ以外の部分に関しては保証されていません。

さらに、受託会社に関するプロセス管理に加えて、委託会社の補助的なプロセス管理を前提に評価し保証しているのです。

そのため、内容をすべて理解するよりも項目ごとの保証範囲を理解することが重要となります。前提として、委託会社のプロセス管理は必要と認識しておきましょう。

まとめ

SOCレポートを閲覧すると、サービスを提供する企業の信頼度を確認できます。近年ではクラウドサービスの利用が増加しており、重要性は高くなっています。そのため、SOCレポートを取得しているサービスは高いプロセス管理が有効であるのが保証されているといっても過言ではないでしょう。

サービスを提供している企業を利用する場合は、SOCレポートが発行されているサービスを選択することも事業運営を円滑に進めるための1つの手段といえます。自社に合うサービスを選択し、上手に取り入れていきましょう。

当社が提供する「マネーフォワード クラウドERP」は、複数のモジュールでSOCレポートを取得しており、取引データから証憑書類まですべての情報をクラウド上で一元管理できるため、監査時の資料要請にもスピーディーに対応可能です。
監査対応の効率化をお考えの企業様は、ぜひお気軽にご相談ください。

よくある質問

SOCレポートとは何？

SOCレポートとは「System and Organization Controls」の略で、サービスのプロセス管理状況を外部の委託先が把握できるように作成された報告書のことです レポートは、AICPA（米国公認会計士協会）が定めた基準で発行されます。そのため、SOCレポートがあるサービスはプロセス管理が有効であるのが保証されており、サービスの信頼度が高くなります。 また、レポートには以下3つの種類があります。

• SOC1
• SOC2
• SOC3

SOC1とSOC2の違いは？

SOC1とSOC2の保証する内容や利用する方の用途は、異なります。 SOC1は、委託会社の財務報告に関するプロセス管理が有効であることを保証しています。一方、SOC2はサービスに関連しない部分も含んでおり「セキュリティ」「可用性」「機密保持」「処理のインテグリティ」「プライバシー」の5つの有効性を保証しているのです。 一般的に、関連のないサービスである財務報告の保証がなされているSOC1よりも、5つの有効性が保証されているSOC2の方が重要視されています。

• 監修：中川崇

  田園調布坂上事務所代表。広島県出身。大学院博士前期課程修了後、ソフトウェア開発会社入社。退職後、公認会計士試験を受験して2006年合格。2010年公認会計士登録、2016年税理士登録。監査法人2社、金融機関などを経て2018年4月大田区に会計事務所である田園調布坂上事務所を設立。現在、クラウド会計に強みを持つ会計事務所として、ITを駆使した会計を武器に、東京都内を中心に活動を行っている。

関連記事

# 社内管理
上場準備企業でも内部統制の整備は必須！基準や目的についてわかりやすく説明
内部統制は、企業活動の適正性を確保するための体制を構築するシステムです。上場企業に求められる体制と思われがちですが、上場準備企業にも内部統制の整備は必要なのでしょうか。この記事では、上場準備企業も内部統制の整備が必要なのか、その理由について…
詳しくみる
# 社内管理
ガバナンスとは？コンプライアンスとの違いや体制づくりの手法を解説！
ガバナンスとは、主に統治の意味で用いられる言葉です。コーポレートガバナンスは企業統治の意味で、企業経営健全化のために必要とされる管理体制や取り組みを指す言葉です。ステークホルダーの利益確保を目的に、法令遵守を意味するコンプライアンスや企業リ…
詳しくみる
# 社内管理
【上場企業必読！】内部統制の評価・実施基準の改訂版を徹底解説
2023年4月から内部統制における実施基準が改訂されました。 クリーンな事業活動と企業イメージのためにも、上場企業はもちろん、これから上場を目指す成長企業も「内部統制の実施基準」の最新情報を理解しておかなければいけません。 本記事では、財務…
詳しくみる
# 社内管理
ELC（全社的内部統制）とは？評価項目例や構築のポイントも説明
内部統制において、ELC（全社的内部統制）を整備しておくことは重要です。まだELCについての知識が少なかったり、これから学ぼうと思っていたりする方も少なくないでしょう。 本記事ではELCとはどのような内部統制なのか、その評価項目や構築のポイ…
詳しくみる
# 社内管理
コーポレートガバナンス・コードにおける社外取締役の位置づけと役割
2015年にコーポレートガバナンス・コードが制定され、社外取締役の重要性が増しています。東京証券取引所プライム市場に上場している会社は取締役の3分の1以上でなければならなくなりました。同時に、社外取締役の活用が明示されており、今後の日本企業…
詳しくみる
# 社内管理
ガバナンスとは？コーポレートガバナンスコードや体制づくりについて解説！
昨今、企業は会計不正や品質偽装、贈収賄などの内的要因に加え、自然災害や地政学、パンデミックなどの外的要因にも激しく晒されています。これらのリスクをいかに最小限に留められるかは、重要なポイントであるといえるでしょう。 言い換えれば、リスク最小…
詳しくみる