受託業務に関する保証サービスとして、歴史的には米国監査基準書70号(SAS70)および日本公認会計士協会・監査基準委員会報告書第18号に基づく報告書が利用されてきましたが、これらは財務報告に関連する内部統制のみを対象としており、より広い、財務報告に関連しない領域を含む内部統制を対象としたいというニーズに応えるためにこのような分類が設けられました。
(なお、従来の財務報告に関連する内部統制を対象とした保証サービスは、SOC1と分類されており、日本では、日本公認会計士協会により監査・保証実務委員会実務指針第86号、保証業務実務指針3402が定められている。)
Trustサービス規準は、以下の規準から構成されます。
- Trustサービスの5つのカテゴリー全てに共通する規準(共通規準)
- 可用性、処理のインテグリティ、機密保持及びプライバシーのカテゴリーに係る特定の追加規準
SOC2およびSOC3では、Trustサービスの5つのカテゴリーから、セキュリティのみ又はセキュリティとその他複数のカテゴリーを選択して評価対象とすることができます。
| カテゴリー | 概要 |
|---|---|
| セキュリティ | 情報及びシステムは、未承認のアクセス、未承認の情報の開示、情報又はシステムの可用性、インテグリティ、機密保持及びプライバシーを損ない、組織がその目的を達成するための能力に影響を与えるおそれのあるシステムのダメージに対して保護されている。 |
| 可用性 | 情報及びシステムは組織の目的を達成するように操作でき、かつ、使用できる。 |
| 処理のインテグリティ | システム処理は、組織の目的を達成するように、完全、正当、正確、適時であり、かつ、承認されている。 |
| 機密保持 | 機密とされた情報が、組織の目的を達成するように、保護されている。 |
| プライバシー | パーソナル・インフォメーションが、組織の目的を達成するように、収集、使用、保持、開示及び廃棄されている。 |
このうちSOC2では、評価対象となる各内部統制に対する評価手続と結果の詳細が報告書に記載されること、および開示範囲がその内容を十分に理解している利用者に限定されることが特徴です。
SOC3は、報告書の開示範囲が限定されず、インターネット等を通じた公開も可能であることが特徴です。