「SOC1 レポートが必要なんだよ！」と営業に怒鳴り込まれた。どうしたらいい。そもそもなんだよそれ。

SOC レポートは監査でお客様が監査機関に「俺の委託先、問題ねぇから！」と説明するために必要。この説明をできる相手じゃないとお客様は取引できない、とかそういう会社もあるから SOC レポートがないとまずいことがあるかもしれない。

SOC (Service Organization Control) は1～3の3種類があって、いずれも監査機関が作成する、会社がやっている特定の業務について報告するレポート。だから、弊社が SOC1 レポートを必要する際は監査機関に「書いてちょんまげ」って相談しないといけない。もちろん無料ではない。

SOC レポートは何を報告するレポートなのか。弊社が監査機関にレポート書いてちょうだいってする場合、「弊社が他の会社から委託されている〇〇という業務について、コンプライアンス違反がないことを確認できるレポートを書いて」という風に依頼する。SOC レポートは他の会社から受託した業務について、コンプライアンス上ヤバくない (ヤバい場合はその旨を) ことを証明するレポートである。

SOC レポートを読めると何が嬉しいのか。相手の会社がやばい会社でないことを対外的に説明できる。例えばあなたの会社が社長の昔からの友人である人に業務委託をしたとしよう。すると、株主総会で「いやいや、この業務委託先大丈夫なの？」とせっつかれる。かなりヤバい。「いやいや、あいつはいいやつなんで」とか言ったら KILL されかねない。

その点、 SOC はいい。「あいつはいいやつなんで」じゃなくて「信頼できる監査機関が大丈夫だって言っているので」と言える。だから、できるだけ SOC レポートを出している会社と取引したい。

特に上場企業にとってありがたみがある。2008年から上場企業は「うちの会社は会計について不正なことはいたしておりません (へへぇー)」という報告を金融庁に定期的に出さないといけない (SOX法、で検索だ)。その際、業務を他の会社に委託をしている場合は監査機関にに上述のことを問われるだろう。しかし、SOC レポートがあれば「この紋所が目に入らぬかっ」と言える。強い。実際に監査機関が SOC レポートを取り寄せて確認する。

SOC1 は会計周りについてヤバくないことを、SOC2 はセキュリティー、可用性、処理の整合性、機密性、プライバシーといった分野についてカバーする。SOC3 は SOC2 を誰でも見れるようにしたものである。だから、会計周りの委託 (ないし、会計を含むいくつかの業務の委託) であれば SOC1 レポートが読めれば十分。会計を全く含まない委託でこの手のが欲しい場合は SOC2 が必要となるだろう。