ISAE 3402 vs SOC 2: クライアントが必要とする報告書はどちらか

規制の枠組みと適用範囲

ISAE 3402の位置付け

ISAE 3402（国際保証業務基準3402号）は、IAASBが公表する国際基準。サービス機関における内部統制の記述および整備・運用状況の保証を目的とする。ISAE 3402.1は「財務報告に係る内部統制に関する保証報告書」と定義している。

適用範囲は全世界。欧州、アジア太平洋、アフリカ、南米の監査法人と利用者企業で受け入れられる。JICPAも保証業務実務指針3402号として採用済み。

SOC 2の位置付け

SOC 2（Service Organization Control 2）は、AICPA（米国公認会計士協会）が定める信託サービス基準（TSC）に基づく報告書。セキュリティ、可用性、処理の完全性、機密保持、プライバシーの5つの信託サービス原則を評価対象とする。

適用範囲は主に米国とカナダ。米国の監査法人と利用者企業では標準的に受け入れられるが、他の地域では認知度が限定的。

報告対象の違い

ISAE 3402の評価対象

ISAE 3402.9は評価対象を「利用者企業の財務報告に関連する内部統制」と規定している。売上計上、仕入債務管理、資金管理、データ処理等、利用者企業の財務諸表項目に直接影響する統制活動が対象。

統制目標は利用者企業の監査人が設定する。ISAE 3402.A8に基づき、統制目標は利用者企業の財務報告リスクと直結させる。セキュリティ統制も、財務データの正確性と完全性に寄与する範囲で評価対象になる。

SOC 2の評価対象

SOC 2はTSCに基づく5つの領域を評価する。セキュリティ（必須）、可用性、処理の完全性、機密保持、プライバシー。財務報告との関連性は二次的。ITセキュリティとプライバシー保護が焦点。

統制目標はAICPAが定めるTSC基準に従う。サービス機関が独自に追加目標を設定できるが、TSC基準を下回ることはできない。

報告書の構成と利用制限

ISAE 3402報告書の構成

ISAE 3402報告書は4つの要素で構成される。ISAE 3402.54が定める経営者確認書（サービス機関経営者による統制の記述と評価の確認）、統制の記述（サービス内容、統制目標、統制活動の詳細記載）、保証業務実施者の報告書（独立した保証意見と実施手続の記載）、そしてType 2の場合は統制のテスト結果（個別統制のテスト手続と結果）。

利用制限はない。報告書は利用者企業とその監査人が自由に参照可能。第三者への開示も制限されない。

SOC 2報告書の構成

SOC 2報告書も構成は似ている。独立監査人の報告書（AICPA基準に基づく意見表明）、経営者確認書（5つのTSC領域に関する経営者の責任確認）、統制の記述（信託サービス原則ごとの統制活動）、Type 2の場合はテスト結果（統制の運用テストと例外事項）。

ただし利用制限がある。SOC 2報告書は「制限利用報告書」に分類され、特定の利害関係者（利用者企業、規制当局、監査人等）のみが利用可能。一般開示は想定されていない。この違いは大きい。クライアントが報告書を営業ツールとして広く配布したい場合、SOC 2では制約が生じる。

選択の判断基準

クライアントの実例: 田中データサービス株式会社

所在地は東京。給与計算代行サービスを手がけ、利用者企業は日本企業200社と東南アジア企業50社。年間売上高45億円、従業員280名。

利用者企業の所在地をまず確認する。利用者企業の監査人がどの監査基準を使用しているか。日本企業の監査人は監基報（日本版ISA）を使用するため、ISAE 3402報告書を受け入れる。東南アジア企業の監査人もISAベースの監査基準を使用している場合が多い。利用者企業リストと各社監査人の使用基準を調書に記載する。

サービス内容と統制目標の整理に移る。給与計算サービスは利用者企業の人件費、法定福利費、預り金に直接影響する。これらは財務諸表項目そのもの。ISAE 3402の適用範囲に該当する。サービス内容と影響する財務諸表項目の対応表を作成する。

費用の比較も行う。ISAE 3402 Type 2報告書の作成費用は約800万円（初年度）、約500万円（次年度以降）。SOC 2 Type 2報告書は約1,200万円（初年度）、約700万円（次年度以降）。ISAE 3402は国際的な受け入れ範囲が広く、費用も抑えられる。田中データサービスの場合、ISAE 3402が最適。

利用者企業の所在地が日本と東南アジア中心であり、サービス内容が財務報告に直結するため、ISAE 3402 Type 2報告書を選択する。費用面でも年間で数百万円の差が出る。

実務チェックリスト

1. 利用者企業の所在地をマッピングする（ISAE 3402.A5準拠）。米国中心ならSOC 2、欧州・アジア中心ならISAE 3402を検討 2. サービス内容の財務報告関連性を評価する。データ処理、資金移動、売上計上等はISAE 3402、ITセキュリティ単独はSOC 2 3. 利用者企業の監査人に事前確認する。受け入れ可能な報告書タイプと必要な統制領域を確認 4. 報告書の利用制限要件を確認する。一般開示が必要ならISAE 3402、制限利用で問題なければSOC 2も選択肢 5. 費用を定量的に比較する。初年度と次年度以降の費用、利用者企業数、国際展開計画を考慮 6. 地理的分布が最も大きな判断基準。利用者企業の事業所在地で報告書タイプはほぼ決まる

本音を言うと、Big4のクライアントは「とりあえずSOC 2」と言ってくることが多い。米国のクライアントから求められた経験があるから。ただ、利用者企業の監査人が実際にどの報告書を受け入れるかを確認せずに着手すると、報告書が完成してから「これでは使えない」と言われるリスクがある。

よくある判断ミス

利用者企業の確認不足が一番多い。報告書完成後に利用者企業の監査人が受け入れを拒否するケース。事前確認を省くと、数百万円の費用が無駄になる。

費用のみで判断するのも問題。安価な報告書でも受け入れられなければ意味がない。受け入れ可能性を最優先にする。

サービス範囲の誤解もある。ITセキュリティ統制と財務報告統制を混同している。ISAE 3402は財務報告関連統制のみが対象。セキュリティ統制の保証だけが目的なら、SOC 2を選ぶ。