SOC 2 vs ISAE 3402: 両フレームワーク間のコントロールマッピングガイド

SOC 2からISAE 3402への移行が増えている背景

SOC 2は米国AICPAが策定した基準で、Trust Servicesフレームワークに基づく。Security、Availability、Processing Integrity、Confidentiality、Privacyの5原則で構成される体系である。

ISAE 3402は国際的な保証基準。SOCレポートの国際版として位置づけられ、コントロール目標とコントロール活動の組み合わせで統制環境を評価する仕組みだ。

日本企業で移行が増えている理由は大きく2つある。まず、国際的なクライアントからISAE 3402レポートの要求が増加しており、SOC 2だけでは日本の監査人によるレビューが困難な場合がある点。次に、監査人側の対応コスト。ISAE 3402であれば監基報に慣れた監査人がレビューしやすく、金融機関の委託先管理でも国際基準準拠のレポートを求められるケースが目立つようになった。

フレームワークの基本構造比較

SOC 2 Trust Servicesフレームワーク

Trust Servicesの5原則は階層構造を持つ。

Security（CC1.0〜CC9.0）はアクセス管理、論理・物理アクセス制御、変更管理、システム運用、リスク評価、監視活動を含む。Availability（A1.0〜A1.3）はシステム可用性とインシデント対応、容量管理をカバーし、Processing Integrity（PI1.0〜PI1.3）は処理の完全性、データ入力統制、エラー処理を対象とする。Confidentiality（C1.0〜C1.2）が機密情報の保護・分類・アクセス制御、Privacy（P1.0〜P8.1）が個人情報の収集から利用、保持、開示、監視までを扱う体系だ。

ISAE 3402コントロールフレームワーク

ISAE 3402ではコントロール目標を設定し、各目標を達成するコントロール活動を文書化する。典型的なコントロール目標は以下の通り。

- ユーザーアクセス管理：新規ユーザー登録、権限変更、削除プロセス - システム変更管理：変更申請、承認、テスト、本番適用の手順 - データ処理統制：入力検証、処理監視、出力確認 - 監視・モニタリング：ログ監視、例外処理、是正措置 - 物理・論理セキュリティ：データセンターアクセスとネットワークセキュリティ - 事業継続・災害復旧：バックアップ、復旧手順、テスト実施

実践的マッピング手法

実例：架空企業でのマッピング作業

サクラデータサービス株式会社（従業員450名、売上38億円）。クラウド型人事管理システムを運営し、SOC 2 Type IIレポート取得済み。海外親会社の要請でISAE 3402への移行を検討している。

既存のSOC 2コントロール状況

同社は現在48のコントロールを運用。Security領域で32、Availability領域で8、Processing Integrity領域で6、Privacy領域で2という内訳だ。

マッピング作業の実施

1. ユーザーアクセス管理

SOC 2のCC6.1（論理アクセス制御）とCC6.2（認証・認可）はISAE 3402の「ユーザーアクセス管理」コントロール目標に直接対応する。新規ユーザー登録時の承認ワークフロー、四半期ごとのアクセス権限レビュー、退職者のアクセス削除手順はそのまま活用可能。調書の記述はSOC 2ベースで、業務プロセスとの関連性を明確にすれば済む。

2. システム変更管理

CC8.1（変更管理）はISAE 3402の「システム変更管理」に対応するが、一部拡張が必要になる。既存の変更申請書の承認、テスト実施、本番適用に加えて、変更のリスク評価とユーザーへの影響分析を追加した。追加された統制活動については実施開始日、責任者、証跡の保存場所を明記しないとCPAAOBの検査で指摘を受ける可能性がある。

3. データ処理統制

PI1.1（データ整合性）は範囲が狭く、ISAE 3402の「データ処理統制」をカバーしきれない。既存の入力検証に加えて処理プロセスの監視、出力データの妥当性確認、エラー処理手順を新設した。本音を言うと、ここが一番手間のかかる領域だろう。設計から実装、テストまでのタイムラインを組み、各段階での責任者とチェックポイントを設定する必要がある。

4. 監視・モニタリング

CC7.1〜CC7.5（監視活動）はISAE 3402の「システム監視・モニタリング」の基盤となるが、監視対象の拡張が避けられない。既存のログ監視と例外レポートに加え、KPIダッシュボードとトレンド分析を導入する。閾値設定の根拠、アラート発生時の対応手順、エスカレーション基準の文書化も必要となる。

移行完了時の統制環境

マッピング完了後、同社は6つのコントロール目標の下に52のコントロール活動を配置した。SOC 2時代の48コントロールのうち42は再利用、6は拡張、4は新設。移行期間は5か月で、追加コストは既存の統制運用費の15%増に収まった。

マッピング時の典型的なギャップ

1. スコープの相違

SOC 2はTrust Services原則に基づくフレームワークだが、ISAE 3402は対象業務に関連するコントロールに限定される。結果として、SOC 2でカバーしていた一部の統制がISAE 3402では不要になる場合がある。

逆のケースもある。ISAE 3402では対象業務に特化した詳細なコントロールが必要になることがあり、給与計算代行サービスを例にとると、SOC 2では汎用的なデータ処理統制で足りるが、ISAE 3402では給与計算特有の統制（税務計算の正確性、源泉徴収額の妥当性確認等）まで求められるのだ。

2. コントロールの粒度の違い

SOC 2はより高レベルなコントロール記述を許容するが、ISAE 3402では具体的な統制活動の記述が必要になる。「定期的にアクセス権限をレビューする」（SOC 2）では不十分で、「四半期末に人事システムから出力したユーザーリストと各システムのアクセス権限リストを照合し、不要な権限を特定する」（ISAE 3402）レベルの詳細化が求められる。経験上、この粒度の違いがマッピング作業で最も時間を食うポイントである。

3. 証跡・エビデンスの要件差

ISAE 3402では監査人によるコントロールテストが前提となるため、客観的な証跡が欠かせない。SOC 2で十分とされた口頭確認や簡易な記録では、ISAE 3402の要件を満たせないケースが少なくない。

実践的なチェックリスト

移行前の準備

1. 既存のSOC 2コントロール記述、実施手順、証跡を一覧化する 2. どの業務プロセスがISAE 3402の対象となるかを確定する 3. SOC 2とISAE 3402の両方に精通した担当者をマッピング責任者に指名する 4. マッピング作業から初回テスト実施までのスケジュールを組む

マッピング実施時

1. SOC 2の各コントロールに対するISAE 3402での対応状況を整理する 2. 追加・拡張が必要なコントロールを特定する（ギャップ分析） 3. ギャップを埋めるための統制活動を設計する 4. ISAE 3402の要件に合わせて記述内容と形式を調整する 5. 各コントロールに対応する客観的な証跡の収集方法を決定する

移行後のフォローアップ

1. 新設・変更されたコントロールの有効性をテストする 2. ISAE 3402監査人とコントロール設計について事前協議を行う 3. テスト結果に基づくコントロールの改善を回す

よくある間違い

関連コンテンツ

- ISAE 3402用語集 - ISAE 3402の基本概念と用語の詳細解説 - 統制テスト計画ツール - コントロールテストの計画と実施をサポートするツール - SOC 2からISAE 3402移行チェックリスト - 移行時に確認すべき項目のリスト