金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析
第10回 Report on Cybersecurity Practices FINRA(4)
―—ベンダー・マネージメント(2) SSAE16/SOC1レポートの利用
株式会社FOLIO フィンテックコンプライアンスアドバイザー
木 嶋 謙 吾
FINRAが監査証明書の利用を中小金融機関に奨励する理由
契約でベンダーに対する検査権が認められていても実際にオン・プレミスで効果的なオフサイトモニタリングが実行できるかは、当該金融機関のリソースによるところが大きい。FINRA(Financial Industry Regulatory Authority/金融取引業規制機構)はCyber Security Small Firm Check Listの中で、中小金融機関がベンダー・デューデリジェンスやオンサイト・モニタリングを実行する際にSSAE16/SOC1レポートと呼ばれる監査証明書を代替手段として活用することを推奨している。
SSAE16/SOC1レポートとは
SOC(Service Organization Control)レポートはAmerican Institute of Certified Public Accountants(以下「AICPA」という)によって採用されている。SOCレポートは米国だけでなく我が国を含む多くの国で利用が可能な国際的に認知された監査証明書である。監査法人や公認会計士が独立した第三者の立場から客観的に検証した結果を記載した監査証明書で委託元金融機関がベンダーに業務を委託する場合に、ベンダーの内部統制の有効性について確認ができる。AICPAはSOCレポートをSOC1(SSAE 16)、SOC2、SOC3の3つに分類している。2011年6月15日にSOCレポートの体系が整備される前は、旧SAS70(現行のSSAE16/SOC1レポートに相当)が存在したが、SAS70レポートが本来の利用目的である「財務報告の信頼性」とは別目的で利用されるケースが増えた[1]ことをきっかけとして、本来のSAS70の目的に内部統制の概念(Internal Controls over Financial Reporting)を強化したSSAE16/SOC1レポートに世代交代された。委託元金融機関の財務諸表を監査する監査法人が、SSAE16に基づくSOC1レポートのユーザーで、監査法人は、企業の財務諸表に影響する情報が受託会社にないかをアサーションする証拠としてこのSOC1を使用する。
SOC2レポートとは?
SOC2レポートは会計報告以外の内部統制評価をするレポートでベンダーのシステムに関する下記5項目の内部統制の有効性を委託元(特にベンダーに提供される業務内容を熟知しているユーザーの関係者向け)に開示している。
- ① ベンダーのサイバーセキュリティ(物理的、論理的に外部からの不正アクセスに対する有効な防御策が構築されている)
- ② 可用性(システムが業務委託契約に基づく必要な時に使用できる状況が維持されている)
- ③ 処理能力(システムの処理能力の完全性、正確性、タイムリー性等)
- ④ 機密性(個人情報または会社機微情報保護の防御策が構築されている)
- ⑤ プライバシー(個人情報の利用、保持,破棄、アクセス、情報開示等の8原則)
SOC3レポートとは?
SOC3レポートはSOC2レポートと同様な項目をカバーし、マーケティング目的でベンダーが公的に使用できる短めのレポートである。
SOC2レポートの普及
当初はクラウド業者がSOC2レポートの取得に関して消極的で、SSAE16/SOC1レポートのみを利用するケースが多かったが、最近ではGoogleを代表とするクラウド業者が内部統制の有効性をSOC2レポートを利用して可視化することが顧客獲得のために重要と考え、SOC2レポートの取得を開始している。SSAE16/SOC1とSOC2レポートが併用されるケースも増えてきている。ベンダーがSSAE16/SOC2レポートを導入する動機は以下のとおりである。
- ① SSAE16/SOC2レポートを導入していない同業者と比較して競争上優位に立てる。
- ② 委託元のリスク・コントロール部門、法務部門等の内部基準を満たすことができる。
- ③ ベンダーの社内システムに関する内部統制の有効性のベンチマークとなる。
- ④ 機微情報の取扱いに関して委託元に安心感を与えることができる。
- ⑤ 委託元のデューデリジェンス等の負担を軽減できる。
我が国の課題
我が国でも委託元がベンダーにSOCレポートの提出を要求するケースが増えてきているが、ベンダーがSOCレポートを取得することに必ずしも積極的ではない場合が多いと聞いている。委託元の個人情報を取扱う場合はSOCレポートを提出することに対して比較的抵抗はないが、個人情報を取扱わない場合では提出を拒まれる場合があるようだ。米国では個人情報に限らず委託元の会社機微情報などをベンダーが取扱う場合に、ベンダーが委託元の請求に基づきSOCレポートを提出することは非常に一般的である。金融ビジネスに関わる当事者が顧客保護の為に協力することは最終的に金融ビジネス全体にとって利益となるはずである。
本章の冒頭で述べたように、リソースが不足する中小金融機関がデューデリジェンスやオンサイトモニタリングでベンダーの内部統制基準の評価を行うことは容易なことではない。例えば、金融庁の監督指針のサイバーセキュリティ規程の中でSOCレポートの取得をリスク評価のプロセスに組み込むことを奨励すれば、SOCレポートの取得が加速するものと考える。大手金融機関であってもSOCレポートが一般化することによりデューデリジェンス等に係るコスト、リソースを軽減することが可能となるので、SOCレポートが我が国で普及することを期待する。
[1] コンプライアンスや業務の合理的な保証を得る目的など、会計報告の領域を超えて評価するといった不適切な利用があった。