SOC 2からISAE 3402への移行が必要な背景
SOC 2は米国のAICPAが策定した基準で、Trust Servicesフレームワークに基づいている。Security、Availability、Processing Integrity、Confidentiality、Privacyの5つの原則で構成される。
ISAE 3402は国際的な保証基準。Service Organization Control(SOC)レポートの国際版として位置づけられる。コントロール目標とコントロール活動の組み合わせで統制環境を評価する。
日本企業で移行が増えている理由は3つ。第一に、国際的なクライアントからISAE 3402レポートの要求が増加している。SOC 2では日本の監査人によるレビューが困難な場合がある。第二に、監査人の対応コスト。ISAE 3402であれば、ISAに慣れた監査人が効率的にレビューできる。第三に、規制要件の変化。金融機関の委託先管理において、国際基準準拠のレポートが求められるケースが増えている。
フレームワークの基本構造比較
SOC 2 Trust Servicesフレームワーク
Trust Servicesの5原則は階層構造を持つ:
Security(CC1.0〜CC9.0):アクセス管理、論理・物理アクセス制御、変更管理、システム運用、リスク評価、監視活動が含まれる。
Availability(A1.0〜A1.3):システム可用性、インシデント対応、容量管理をカバー。
Processing Integrity(PI1.0〜PI1.3):処理の完全性、データ入力統制、エラー処理を対象とする。
Confidentiality(C1.0〜C1.2):機密情報の保護、分類、アクセス制御を扱う。
Privacy(P1.0〜P8.1):個人情報の収集、利用、保持、開示、品質、監視、オンサイト通知を網羅。
ISAE 3402コントロールフレームワーク
ISAE 3402ではコントロール目標を設定し、各目標を達成するコントロール活動を文書化する。典型的なコントロール目標は以下の通り:
ユーザーアクセス管理:新規ユーザー登録、権限変更、削除プロセス
システム変更管理:変更申請、承認、テスト、本番適用の手順
データ処理統制:入力検証、処理監視、出力確認
監視・モニタリング:ログ監視、例外処理、是正措置
物理・論理セキュリティ:データセンターアクセス、ネットワークセキュリティ
事業継続・災害復旧:バックアップ、復旧手順、テスト実施
実践的マッピング手法
ステップ1:現在のSOC 2コントロールの棚卸し
サービス組織は既存のSOC 2コントロールリストを準備する。各コントロールについて以下を確認:
ステップ2:ISAE 3402コントロール目標の設定
SOC 2の5原則をベースに、ISAE 3402のコントロール目標を設定する。重要なのは、SOC 2の原則をそのままコントロール目標にしないこと。業務プロセスと関連付けたコントロール目標を作成する。
ステップ3:コントロール対応表の作成
| SOC 2コントロール | ISAE 3402コントロール目標 | マッピング状況 |
|------------------|-------------------------|-------------|
| CC6.1(論理アクセス制御) | ユーザーアクセス管理 | 完全対応 |
| CC6.2(認証・認可) | ユーザーアクセス管理 | 完全対応 |
| CC8.1(変更管理) | システム変更管理 | 完全対応 |
| A1.1(可用性監視) | システム監視・モニタリング | 部分対応(ギャップあり) |
| PI1.1(データ整合性) | データ処理統制 | 拡張必要 |
ステップ4:ギャップ分析と追加統制の検討
マッピングの結果、3つのパターンが生じる:
完全対応:SOC 2のコントロールがISAE 3402の要件を完全に満たしている。文書化の形式を調整するだけで移行可能。
部分対応:コントロールの範囲が重複するが、ISAE 3402で追加要件がある。既存コントロールを拡張する。
ギャップあり:ISAE 3402で新規にコントロールが必要。追加のコントロール活動を設計・実装する。
- Trust Services原則・基準番号
- コントロール活動の詳細記述
- 実施頻度・タイミング
- 実施者・責任者
- 証跡・エビデンス
実例:架空企業でのマッピング作業
企業概要:サクラデータサービス株式会社
既存のSOC 2コントロール状況
同社は現在48のコントロールを運用している。Security領域で32コントロール、Availability領域で8コントロール、Processing Integrity領域で6コントロール、Privacy領域で2コントロール。
マッピング作業の実施
1. ユーザーアクセス管理のマッピング
SOC 2のCC6.1(論理アクセス制御)とCC6.2(認証・認可)は、ISAE 3402の「ユーザーアクセス管理」コントロール目標に直接対応。既存の統制活動:新規ユーザー登録時の承認ワークフロー、四半期ごとのアクセス権限レビュー、退職者のアクセス削除手順をそのまま活用できる。
文書化ノート:ISAE 3402では「コントロールの説明」セクションに統制活動の詳細を記載。SOC 2の記述をベースに、業務プロセスとの関連性を明確化する。
2. システム変更管理のマッピング
SOC 2のCC8.1(変更管理)は、ISAE 3402の「システム変更管理」に対応するが、一部拡張が必要。既存のコントロール(変更申請書の承認、テスト実施、本番適用)に加えて、変更のリスク評価、ユーザーへの影響分析を追加する。
文書化ノート:追加された統制活動については、実施開始日、責任者、証跡の保存場所を明記する。
3. データ処理統制のマッピング
SOC 2のPI1.1(データ整合性)は範囲が狭く、ISAE 3402の「データ処理統制」をカバーしきれない。既存の入力検証に加えて、処理プロセスの監視、出力データの妥当性確認、エラー処理手順を新設する。
文書化ノート:新規統制については設計から実装、テストまでのタイムラインを作成。各段階での責任者とチェックポイントを設定する。
4. 監視・モニタリングのマッピング
SOC 2のCC7.1〜CC7.5(監視活動)は、ISAE 3402の「システム監視・モニタリング」の基盤となるが、監視対象の拡張が必要。既存のログ監視、例外レポートに加えて、KPIダッシュボード、トレンド分析、予防保全アクティビティを導入する。
文書化ノート:新しい監視指標については、閾値設定の根拠、アラート発生時の対応手順、エスカレーション基準を文書化する。
移行完了時の統制環境
マッピング完了後、同社は6つのコントロール目標の下に52のコントロール活動を配置。SOC 2時代の48コントロールのうち42は再利用、6は拡張、4は新設となった。移行期間は5か月、追加コストは既存の統制運用費の15%増に抑制できた。
- 従業員数:450名
- 売上高:38億円
- 事業内容:クラウド型人事管理システムの提供
- 現状:SOC 2 Type II レポート取得済み、ISAE 3402への移行を検討
マッピング時の典型的なギャップ
1. スコープの相違
SOC 2は Trust Services 原則に基づくフレームワークだが、ISAE 3402は対象業務に関連するコントロールに限定される。結果として、SOC 2でカバーしていた一部の統制がISAE 3402では不要となる場合がある。
逆に、ISAE 3402では対象業務に特化した詳細なコントロールが必要になることもある。例えば、給与計算代行サービスの場合、SOC 2では汎用的なデータ処理統制で十分だが、ISAE 3402では給与計算特有の統制(税務計算の正確性、源泉徴収額の妥当性確認等)が求められる。
2. コントロールの粒度の違い
SOC 2はより高レベルなコントロール記述を許容するが、ISAE 3402では具体的な統制活動の記述が必要。「定期的にアクセス権限をレビューする」(SOC 2)では不十分で、「四半期末に人事システムから出力したユーザーリストと各システムのアクセス権限リストを照合し、不要な権限を特定する」(ISAE 3402)レベルの詳細化が必要。
3. 証跡・エビデンスの要件差
ISAE 3402では監査人によるコントロールテストが前提となるため、客観的な証跡が必要。SOC 2で十分とされた口頭確認や簡易な記録では、ISAE 3402の要件を満たさない場合がある。
実践的なチェックリスト
移行前の準備
マッピング実施時
移行後のフォローアップ
- 現在のSOC 2コントロール文書の整理:既存のコントロール記述、実施手順、証跡を一覧化する
- ISAE 3402対象業務の明確化:どの業務プロセスが対象となるかを確定する
- マッピング責任者の指名:SOC 2とISAE 3402の両方に精通した担当者を決定する
- タイムラインの策定:マッピング作業から初回テスト実施までのスケジュールを作成する
- コントロール対応表の作成:SOC 2の各コントロールに対するISAE 3402での対応状況を整理する
- ギャップ分析の実施:追加が必要なコントロール、拡張が必要なコントロールを特定する
- 新規コントロールの設計:ギャップを埋めるための統制活動を設計する
- 文書化様式の統一:ISAE 3402の要件に合わせて記述内容と形式を調整する
- 証跡収集方法の確立:各コントロールに対応する客観的な証跡の収集方法を決定する
- 初回テスト実施:新設・変更されたコントロールの有効性をテストする
- 監査人との事前協議:ISAE 3402監査人とコントロール設計について協議する
- 継続的改善:テスト結果に基づくコントロールの改善を実施する
よくある間違い
- SOC 2のコントロール番号をそのまま使用:ISAE 3402では業務プロセスベースのコントロール目標体系に再編する必要がある
- Trust Services原則の機械的な対応:SecurityやAvailabilityをそのままコントロール目標にするのではなく、対象業務に関連する具体的な統制目標を設定する
- 証跡レベルの軽視:SOC 2レベルの証跡では監査人によるコントロールテストに耐えられない場合が多い
- サブサービス組織の範囲漏れ:ISAE 3402.14項が求めるサブサービス組織の統制評価を省略し、SOC 2のスコープをそのまま適用してしまう
関連コンテンツ
- ISAE 3402用語集 - ISAE 3402の基本概念と用語の詳細解説
- 統制テスト計画ツール - コントロールテストの計画と実施をサポートするツール
- SOC 2からISAE 3402移行チェックリスト - 移行時に確認すべき項目のリスト