SOC(System and Organization Controls)
「SOC(System and Organization Controls)」
データ活用やDX成功に必要な考え方を、各種キーワードの解説で理解できる用語解説集です。
今回はデータ活用の今後に影響がある「SOC」(System and Organization Controls)について解説し、それを通じてデータ活用に関連する問題について考えます。
SOC(System and Organization Controls)とは
SOC(System and Organization Controls)とは、米国公認会計士協会(AICPA)とカナダ公認会計士協会 (CICA) により制定された、外部監査の認証制度です。
昨今では企業活動にITが広く使われるようになったため、会計監査についても企業の経済活動を担うITサービスやシステムにも監査対応が必要になりますが、ITとその運用状況が監査対象として満たすべき基準であることを認証する制度として作られたものです。会計監査に目的を限定しないIT サービスやシステムの認証取得手段としても活用されています。
会計監査の必要性
今の経済システムを機能させるために必要な「経営状態のレポート」
会計監査とは何でしょう。日本にも、これを担う専門家である「公認会計士」という国家資格があります。公認会計士の人は何をしているのでしょう。会社のお金関係の事務作業(経理や税務や財務)をしていると思っている人もいるかもしれません。確かにそういう業務をしていることもあります。
しかし、資格制度が担っている重要な社会的任務は別にあります。公認会計士は、「その会社が外部に公表している財務諸表に、間違いやウソがないかを検査する」ために作られた制度です。ではなぜ、「検査」のために本格的な資格制度や専門家が必要なのでしょうか。検査がないと社会に悪い事件がおこり、経済全体に影響が及ぶ大事件が起こってしまうこともあるためです。
世の中での経済活動の多くは「株式会社」が担っています。株主が出資をして、その資金を使って事業を運営して収益を上げ、株主に配当をする仕組みです。経営がうまく行っていれば儲かり、株主への配当も増え株価も上がりますが、経営がうまく行かないと倒産して株は紙切れになり出資したお金は無駄になってしまいます。
ポイントは同じチームの上司と部下のような関係ではなく、出資者は部外者の第三者であることです。大規模な出資を伴う大規模な事業になるほどに、実際の事情に全く詳しくない人でも出資ができる仕組みが必要になってしまいます。そんな人でも、出資をして大丈夫なのかどうか、株式を持っていて大丈夫なのかどうか、、判断できる状況を整備する必要があります。
つまり株式会社(と株式市場)の仕組みをうまく回して経済を発展させるためには「その会社の経営がうまくいっているかどうか」が外部から理解できる仕組みを整える必要があります。これは社会全体にとって重大なことでもあるので、手間やコストを特別に費やしてでも何とかしなければいけません。 そこで株式会社には、定期的に自社の財務状態(経営状態)を報告するレポート(財務諸表)を出すことが義務付けられています。
財務諸表だけで判断されるのであれば(不正の動機)
しかしながら、言い換えれば経営の実態そのものでの判断ではなく、紙に過ぎない財務諸表で外部から判断されていることになります。だったら、財務諸表の報告内容でインチキをしたらどうなるでしょう。本当は儲かっていないのに、儲かっているふりをしたら投資が集まってきます。ウソを書いたらお金を集めることができるのです。特に、このままだと倒産しそうで生き残るために資金がほしくてしょうがないときには、不正の報告で資金を集める誘惑が生じやすくなります。
計画的に実態のないインチキ話でお金を集め、持ち逃げされて倒産した、そういう事件も実際に多く起こっています。本当はとっくに倒産していたのにウソで資金を集め続けて延命したため、雪だるま式に膨らんだ巨額の不良債権を残したまま巨大倒産をしてしまい、連鎖倒産や株主の破産が相次いで国家全体で経済が大変なことになるような事件も起こっています。残念ながら、近年に至るまでそのような事件は続いています。
このような事件を防ぐためにはどうしたら良いでしょうか。財務報告に間違いやウソがないことを確認すればこのような事態を減らすことができます。そこで、財務報告が実態に即したものであることをしっかり検査し、時には不正会計を見破る、財務諸表の報告内容を確認する専門家の制度が作られました。それが「公認会計士」の制度です。
IT時代の会計監査
会計監査の対象となる企業の経済活動は従来、主に紙の書類によって記録され管理されてきました。しかしながら近年では、企業活動においてITの活用が進むようになり、企業の経済活動にそのものついても、そこから監査の対象になる活動の証拠についても、電子的なものが多くなってきています。
ここまで説明してきたような会計監査の業務についても、電子的な記録やITシステム、最近ではクラウドサービスなどに対しても行う必要が出てきています。立場を変えると、監査をしてもらって財務諸表にお墨付きをもらう必要がある企業の側としても、紙の書類の対応だけでは済まなくなりつつあるということです。
しかしながら、紙の帳面をめくっての確認作業に対し、ITシステムを対象とした場合には、公認会計士の知識に加えてITの知識まで必要になってきます。さらには、書き換えやすいデジタルデータでミスや不正を見つけることも容易ではありません。もしあなたに、数字が大量に入力されているExcelファイルを渡されて、この入力内容にミスや手の込んだ粉飾決算などがないか確認してください、確認結果には責任を負ってください、と言われたら困るはずです。ですが、そういうことをしないといけなくなっているのです。
では昔ながらの紙ベースの業務の方が良いのでしょうか。そういうわけにもいきません。紙の業務をなくしてデジタル化すべき社会の要請もあります、印鑑を押すためだけに出社するような状況も良くありません。監査対応が難しいからと紙ベースでのお金の処理を続けていては、他の人たちを困らせることになります。
しかしもし、ITが監査を想定した作りになっていればどうでしょう。例えば、誰がいつ何を根拠にデータ入力や書き換えを行ったのかが記録に残る仕組みや、データやログを消去して無かったことにはできない仕組みなど、会計システム自体が不正を防ぐ仕組みを備えているなら、つまりむしろ昔ながらの会計監査よりもしっかりした確認も可能になります。
そこで近年取り組まれているのが、ITシステムを対象として会計監査に適した状態になっていることを認証する制度です。そのような取り組みの一つが、SOC(System and Organization Controls)による「このITシステムは基準をクリアしている」ことを確認する、外部監査の認証制度です。
SOC1報告書
SOC1報告書は、これまで説明してきたような「不正会計がなされていないこと」が確認しやすい状況が整った組織体制であるかを会計監査の観点で確認し、認証する報告書になります。
ITシステムについてITの観点だけで確認するものではなく、その組織での運用状況まで含めた全体の状況が、会計監査の観点で適切かが確認されます。例えば不正なデータの改ざんを防止する機能があること、システム上でデータがコントロールされて監査に必要な様々なデータ操作の証跡が残ることなど、会計監査に必要な機能があり、それが適切に運用されていることがチェックされます。
一方で、それ以外の観点(情報セキュリティやプライバシー保護など)までチェックされるわけではないため、SOC1での厳重なチェックを受けたからといって、一般的な安全安心の観点でのチェックは万全であるとは言えないこともあります。
SOC2報告書
SOC2報告書は、会計監査の観点ではなく主にIT側の観点で、ITサービスやシステムを監査し認証する報告書になります。
具体的には「セキュリティ」「可用性」「インテグリティ(整合性)」「機密保持」「プライバシー」の五つの観点のうち一つ以上での監査を行ってその報告を行います。その領域に限定してはSOC1よりも徹底された監査が行われることもあります。逆に、SOC2でのチェックを受けていると謳われていても、セキュリティだけで他の観点では特にチェックを受けていないこともありえます。
対外的なアピールで認証を受ける意義がある一方で、監査に対応し基準を満たし続けることはITの開発作業にとってコストであり製品やサービスのリリース速度が低下する原因にもなりえます。認証を受ける観点を選べることは、トレードオフを考えて自分たちにとって必要な領域に絞り込むことも可能にします。
SOC3報告書
報告書の一般公開を目的としたものです。監査報告書は一般的には公開を前提とするようなものではなく、監査法人と会計監査を受ける企業との間でNDA(秘密保持契約)を結ぶなどして報告書の内容そのものは公開しないものです。SOC1およびSOC2報告書もその範疇のものです。
これに対して、一般的な利用に対する報告書であり、内容面でも、解りやすさや分量などでも一般公開を前提としたものがSOC3になります。
Type1とType2
報告書にはType1とType2の報告書があります。Type1は「ある時点」での状況について監査を受けた結果になります。しかしそれだけでは、都合の良いタイミングだけで監査を受けているのでは?という疑念や、その時点だけうまくつくろっているのではないか?というような疑念が残ることにもなります(もともとは不正会計の疑念を晴らすための取り組みです)。そこで、「半年以上継続的に監査した結果」で報告書を作るものがType2になります。
SOC1/2/3報告書はどのように活用できるか
会計監査をスムーズにできる
SOC対応がなされていれば、公認会計士から見てそのITシステムに記録されている内容は信用できるものであり、毎回の監査作業がスムーズになり、その結果の信頼性も高まります。監査対応のコストを減らし、財務諸表の信頼性を高めることができるはずです。
会計監査をスムーズにできるITであるとしてセールス出来る
自社ソフトウェア製品や自社クラウドサービスがSOC対応済みとなっていれば、その製品やサービスはいわば公認会計士のお墨付きを受けた証拠になります。よって導入すれば、会計監査対応がスムーズに行える水準であることをPRすることができます。
自社プロダクトが「きちんとしている」ことをPRする手段に利用できる
会計監査で求められる基準をクリアしているくらい、ITシステム一般としてきちんとした製品やサービスであることを伝える手段として活用できます。特にSOC3ならば、「準拠しました」だけではなく監査報告書そのものまで公開することができ、どのような確認を受けてどのような判断を受けたのかまでPRすることができます。
自社でIT製品やクラウドサービスを導入する際の参考にできる
IT製品の品質は玉石混交で、特に業務を担うITにはしっかりした品質が求められますが、プロダクトの見極め作業はなかなか容易ではありません。良い製品だとPRしているので信じて導入してみたら、導入してしばらく経ってからトラブルが続出して大変なことになるようなこともあり得ます。
例えば、品質やセキュリティなどを軽視してとにかくソフトウェアを作っている場合にはSOCはまず取得できないと考えられるため、一定以上の基準を満たしていると判断する手段にはなりえます。特にSOC2なら、監査の観点ではないためにIT担当者にとっては、自身の判断の根拠として利用しやすいはずです。
AWSでの活用例
AWS(Amazon Web Services)では、クラウドサービスの利用契約者に対してAWS自身に対するSOC1とSOC2の報告書をダウンロードできる機能が備わっています。また、誰でもダウンロードできる形でSOC3の報告書も公開されています。
最近では業務システムでのクラウド活用は当たり前になりましたが、少し前までは業務でクラウドのようなものを活用して大丈夫なのか?という声もありました。そのような状況でに「SOCにも対応している」ことを示す手段として利用することができました。
関係するキーワード(さらに理解するために)
- PCI DSS
- クレジットカード業界による、クレジットカード番号などカード利用者の情報を取り扱うITシステムに守ることを義務付けられているセキュリティ基準です。インターネット時代になりカード番号の大規模漏洩などの事故が発生するようになったために作られました。 こちらも、クレジットカードの情報を取り扱えるくらいのITシステムと体制で運用されていることが認証されている手段としても活用できます。
- GDPR(EU一般データ保護規則)
- 欧州連合(EU)における「個人に関するデータ」の取り扱いについて、配慮しなければいけないことを定めた規則です。EUの考える、人権に配慮してデータを取り扱うためには、どのようなことができていなければいけないかついて規則として定めたものと言えます。
- ファイル連携
- 様々な企業活動を支えるITシステムの基盤として活躍している連携手段になります。業務に関連して取り扱われているデータ、特に事務処理や経理に関連するITの利活用では、ファイル形式でのデータのやり取りはとても一般的です。
昨今流行の連携手段や技術に比べると古い印象もあるファイル連携ですが、今なお多くの長所があり、今日でも多くの企業の事業活動を支える基盤として活躍しています。
- 様々な企業活動を支えるITシステムの基盤として活躍している連携手段になります。業務に関連して取り扱われているデータ、特に事務処理や経理に関連するITの利活用では、ファイル形式でのデータのやり取りはとても一般的です。
- MFT(Managed File Transfer)
- ファイルによる連携処理を、企業活動を支えられるだけの高度な水準の「安全安心確実さ」で実現する連携基盤です。単にファイルの転送処理ができるだけではなく、転送処理が間違いなく確実に行われることや、セキュアで安全な転送、転送ログをきちんと残して確認や管理ができる機能などが揃えられているファイル転送やそれを実現する基盤のことをそう呼びます。
間違いがあってはならない業務や監査対応など、高度な信頼が求められるITシステムの実現手段として利用できます。転送は間違いなく行われ、もし転送失敗があってもきちんと確認でき、企業間でもファイルを送った送っていない、などのトラブルも起こりにくくなります。
- ファイルによる連携処理を、企業活動を支えられるだけの高度な水準の「安全安心確実さ」で実現する連携基盤です。単にファイルの転送処理ができるだけではなく、転送処理が間違いなく確実に行われることや、セキュアで安全な転送、転送ログをきちんと残して確認や管理ができる機能などが揃えられているファイル転送やそれを実現する基盤のことをそう呼びます。
ファイル連携(MFT)に興味を持たれましたら
興味を持たれましたら、ぜひファイル連携の世界を実現する製品を実際に試してみてください。
MFTの決定版「HULFT」
国内で圧倒的な実績がある、国産MFT製品の最高峰にして「ファイル連携基盤のデファクトスタンダード」である「HULFT(ハルフト)」を是非お試しください。
ITシステムに対して最高度の対応が求められる金融機関でその基盤として長年使われているなど圧倒的な実績があります。あらゆる環境が、あっという間にファイルでつながった世界が出来上がります。
今ではHULFTはクラウドサービスとの連携など最新のIT環境にも対応しており、大容量ファイルの高速転送や、大量のファイルの転送処理など、性能が求められる状況でも活躍しています。
⇒ ファイル転送の仕組みを学ぶ HULFT 製品紹介・オンラインセミナー
インターネット経由でHULFTの安全安心のファイル転送が利用できる「HULFT WebConnect」
HULFTの安全安心確実なファイル転送を、インターネット回線経由で利用できるクラウドサービスが「HULFT WebConnect(ハルフト・ウェブコネクト)」になります。自社の拠点間はもちろん、海外支社との間、あるいは取引先との間での、エンタープライズクラスのしっかりしたファイル連携手段を、一般のインターネット回線だけで実現できます。
- インターネットの向こう側ともHULFTによる転送を利用できます
- コストのかかる専用線やVPNなどが不要で低コストです
- クラウドサービスのため、自社での運用作業が不要ですぐに利用開始できます
- 転送路に情報を残さない仕様となっているなど、監査対応に配慮した仕様です
- 通信相手が他社である場合での利用での様々な配慮があります
- 多数の取引先と請求書や注文書などをセキュアにやり取りする基盤として活用できる機能が整えられています(簡単に利用できる専用クライアントなど)
用語集 コラム一覧
英数字・記号
- 2025年の崖
- 5G
- AI
- API【詳細版】
- API基盤・APIマネジメント【詳細版】
- BCP
- BI
- BPR
- CCPA(カリフォルニア州消費者プライバシー法)【詳細版】
- Chain-of-Thoughtプロンプティング【詳細版】
- ChatGPT(Chat Generative Pre-trained Transformer)【詳細版】
- CRM
- CX
- D2C
- DBaaS
- DevOps
- DWH【詳細版】
- DX認定
- DX銘柄
- DXレポート
- EAI【詳細版】
- EDI
- EDINET【詳細版】
- ERP
- ETL【詳細版】
- Excel連携【詳細版】
- Few-shotプロンプティング / Few-shot Learning【詳細版】
- FIPS140【詳細版】
- FTP
- GDPR(EU一般データ保護規則)【詳細版】
- Generated Knowledgeプロンプティング(知識生成プロンプティング)【詳細版】
- GIGAスクール構想
- GUI
- IaaS【詳細版】
- IoT
- iPaaS【詳細版】
- MaaS
- MDM
- MFT(Managed File Transfer)【詳細版】
- MJ+(行政事務標準文字)【詳細版】
- NFT
- NoSQL【詳細版】
- OCR
- PaaS【詳細版】
- PCI DSS【詳細版】
- PoC
- REST API(Representational State Transfer API)【詳細版】
- RFID
- RPA
- SaaS(Software as a Service)【詳細版】
- SaaS連携【詳細版】
- SDGs
- Self-translateプロンプティング /「英語で考えてから日本語で答えてください」【詳細版】
- SFA
- SOC(System and Organization Controls)【詳細版】
- Society 5.0
- STEM教育
- The Flipped Interaction Pattern(解らないことがあったら聞いてください)【詳細版】
- UI
- UX
- VUCA
- Web3
- XaaS(SaaS、PaaS、IaaSなど)【詳細版】
- XML
- ZStandard(可逆データ圧縮アルゴリズム)【詳細版】
あ行
か行
- カーボンニュートラル
- 仮想化
- ガバメントクラウド【詳細版】
- 可用性
- 完全性
- 機械学習【詳細版】
- 基幹システム
- 機密性
- キャッシュレス決済
- 共通鍵暗号 / DES / AES(Advanced Encryption Standard)【詳細版】
- 業務自動化
- クラウド
- クラウド移行
- クラウドネイティブ【詳細版】
- クラウドファースト
- クラウド連携【詳細版】
- 検索拡張生成(RAG:Retrieval Augmented Generation)【詳細版】
- コンテキスト内学習(ICL: In-Context Learning)【詳細版】
- コンテナ【詳細版】
- コンテナオーケストレーション【詳細版】
さ行
- サーバレス(FaaS)【詳細版】
- サイロ化【詳細版】
- サブスクリプション
- サプライチェーンマネジメント
- シンギュラリティ
- シングルサインオン(SSO:Single Sign On)【詳細版】
- スケーラブル(スケールアップ/スケールダウン)【詳細版】
- スケールアウト
- スケールイン
- スマートシティ
- スマートファクトリー
- スモールスタート(small start)【詳細版】
- 生成AI(Generative AI)【詳細版】
- セルフサービスBI(ITのセルフサービス化)【詳細版】
- 疎結合【詳細版】
た行
- 大規模言語モデル(LLM:Large Language Model)【詳細版】
- ディープラーニング
- データ移行
- データカタログ
- データ活用
- データガバナンス
- データ管理
- データサイエンティスト
- データドリブン
- データ分析
- データベース
- データマート
- データマイニング
- データモデリング
- データリネージ
- データレイク【詳細版】
- データ連携 / データ連携基盤【詳細版】
- デジタイゼーション
- デジタライゼーション
- デジタルツイン
- デジタルディスラプション
- デジタルトランスフォーメーション
- デッドロック/ deadlock【詳細版】
- テレワーク
- 転移学習(transfer learning)【詳細版】
- 電子決済
- 電子署名【詳細版】
な行
は行
- ハイブリッドクラウド
- バッチ処理
- 非構造化データ
- ビッグデータ
- ファイル連携【詳細版】
- ファインチューニング【詳細版】
- プライベートクラウド
- ブロックチェーン
- プロンプトテンプレート【詳細版】
- ベクトル化 / エンベディング(Embedding)【詳細版】
- ベクトルデータベース(Vector database)【詳細版】
ま行
や行
ら行
- リープフロッグ現象(leapfrogging)【詳細版】
- 量子コンピュータ
- ルート最適化ソリューション
- レガシーシステム / レガシー連携【詳細版】
- ローコード開発(Low-code development)【詳細版】
- ロールプレイプロンプティング / Role-Play Prompting【詳細版】