「北米の大手顧客から SOC 2 Type 2 レポートの提出を求められたが、何を準備すれば良いか分からない」――海外展開を進める中堅 SaaS 企業の典型的な悩みだ。 SOC 2 は AICPA(米国公認会計士協会)が定める内部統制報告基準で、Type 2 は最低 6 ヶ月の運用評価期間を伴う。本稿は中堅 SaaS の監査準備プロセスを整理する。
目次
- SOC 2 Type 1 と Type 2 の違い
- Trust Services Criteria(TSC)の 5 原則
- READINESS 評価フェーズ
- 監査期間設計と運用証跡
- CPA 監査人の選定基準
- 是正処置と例外事項対応
- 中堅 SaaS の典型的な準備期間とコスト
- よくある質問(FAQ)
SOC 2 Type 1 と Type 2 の違い
| 観点 | Type 1 | Type 2 |
|---|---|---|
| 評価対象 | 設計の妥当性(特定時点) | 設計+運用有効性(一定期間) |
| 評価期間 | 時点 | 通常 6-12 ヶ月 |
| レポート構造 | 統制設計のみ | 設計+運用テスト結果 |
| 顧客の要求頻度 | 初回のみ | 毎年更新 |
| コスト目安 | $20K-$40K | $40K-$120K |
Trust Services Criteria(TSC)の 5 原則
AICPA の Trust Services Criteria 2017(2022 改訂、2022 年 12 月発効)に基づく。
| 原則 | 略称 | 概要 | 必須 / 任意 |
|---|---|---|---|
| Security | セキュリティ | 不正アクセス防止、論理・物理保護 | 必須 |
| Availability | 可用性 | システム稼働、災害復旧 | 任意 |
| Processing Integrity | 処理の完全性 | データ処理の正確性・適時性 | 任意 |
| Confidentiality | 機密性 | 機密情報の保護 | 任意 |
| Privacy | プライバシー | 個人情報の収集・利用・廃棄 | 任意 |
READINESS 評価フェーズ
監査本番に先立ち、READINESS(準備状況)評価を実施する。
| フェーズ | 期間目安 | 主なアクション |
|---|---|---|
| スコープ定義 | 2-3 週間 | 対象システム、TSC 原則、監査対象期間の決定 |
| ギャップ分析 | 4-6 週間 | TSC 各統制ポイントとの差分確認 |
| 統制実装 | 8-12 週間 | 不足統制の設計・実装、規程改定 |
| ドライラン | 2-4 週間 | 監査前の運用テスト、証跡収集確認 |
監査期間設計と運用証跡
Type 2 の運用評価期間は最短 3 ヶ月、推奨は 6 ヶ月(初回) または 12 ヶ月(継続)。
| 監査期間 | 用途 | サンプル数目安 |
|---|---|---|
| 3 ヶ月 | 初回緊急対応 | 統制ごと 5-10 件 |
| 6 ヶ月 | 初回標準 | 統制ごと 15-25 件 |
| 12 ヶ月 | 継続更新 | 統制ごと 25-40 件 |
- ユーザーアクセス権限のレビュー記録(四半期ごと)
- 変更管理レコード(チケット、レビュー承認)
- インシデント対応記録(Slack / PagerDuty 等のログ)
- バックアップ実行ログ
- 脆弱性スキャン結果と是正記録
- 従業員入社・退社時のオンボーディング・オフボーディングチェックリスト
CPA 監査人の選定基準
SOC 2 監査は AICPA に登録された CPA ファーム のみが実施可能。中堅 SaaS が選定する際の評価軸:
- 業界経験:類似 SaaS 監査実績の数
- テクノロジー理解:AWS / GCP / Azure / Kubernetes 等への理解度
- コミュニケーション:日本語対応の有無、時差調整
- Type 1 → Type 2 連続実施の効率性
- 追加サービス:HIPAA / ISO 27001 / PCI-DSS との同時取得対応
是正処置と例外事項対応
監査中に発見される例外事項(Exception)への対応:
| 例外の重大性 | 影響 | 対応期限 |
|---|---|---|
| 軽微(Low) | 観察事項として記載 | 次年度監査までに対応 |
| 中程度(Medium) | レポート内記述、適格意見の可能性 | 30-60 日 |
| 重大(High) | 不適格意見、重大な不備 | 即時対応必須 |
中堅 SaaS の典型的な準備期間とコスト
| 規模 | 準備期間 | 内部工数 | 監査費用 | 合計 |
|---|---|---|---|---|
| シード(30-60 名) | 6-9 ヶ月 | 0.5 FTE × 6 ヶ月 | $30K-$50K | $80K-$130K |
| シリーズ A-B(60-200 名) | 4-6 ヶ月 | 1 FTE × 4 ヶ月 | $50K-$80K | $130K-$220K |
| 中堅(200-500 名) | 3-5 ヶ月 | 1.5 FTE × 3 ヶ月 | $80K-$120K | $200K-$320K |
「規制改訂への対応が遅れている、専門家の助けが欲しい」
業界規制対応の現状診断と移行ロードマップ、外部監査連携を提供します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
よくある質問(FAQ)
Q. SOC 2 と ISO/IEC 27001 はどちらを優先すべき? A. 主要顧客の要求次第。北米中心なら SOC 2、欧州・日本中心なら ISO/IEC 27001。両方取得する場合は ISO/IEC 27001 を先行させ、SOC 2 を上乗せすると効率的。
Q. SOC 2 Type 1 を取得すれば商談には十分か? A. 短期商談には Type 1 でも可だが、本番契約では Type 2 提示が求められるケースが大多数。Type 1 は時間稼ぎ、Type 2 取得を並行で進めるのが定石。
Q. 自社で監査人を兼任することは可能か? A. 不可。SOC 2 監査は外部 CPA ファームによる独立性確保が要件。
Q. SOC 2 レポートの有効期間は? A. 通常 1 年。継続的に毎年更新監査を受ける必要がある。
参考資料
- AICPA「Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy」
- AICPA「SOC 2 Reporting on Controls at a Service Organization」
- AICPA SOC for Service Organizations 公式サイト
中堅 SaaS 企業の SOC 2 監査準備、READINESS 評価、統制設計、CPA ファーム選定支援は GXO のコンプライアンス対応サービスで対応可能です。