サービス・オーガニゼーション・コントロール(SOC)

国際的な内部統制保証基準である、米国保証業務基準AT-C Section 320 (注1) および国際保証業務基準3402 (ISAE3402 (注2)) に基づくサービス・オーガニゼーション・コントロール1 (SOC 1: Service Organization Controls 1) (注3) Type1/Type2を取得し報告書を受領 (注4) しており、お客さまが内部統制調査や外部評価において本報告書をご利用いただくことが可能です。さらに、『セキュリティ』および『可用性』を評価する米国保証業務基準AT-C Section 105/AT-C Section 205 (注5) および国際保証業務基準3000 (以下: ISAE3000) (注6) に基づくサービス・オーガニゼーション・コントロール2 (SOC 2: Service Organization Controls 2) (注3) Type1/Type2報告書も取得 (注4) しており、お客さまの重要なシステム基盤として、より安心して「KDDI クラウドプラットフォームサービス」をご利用いただけます。

SOC1 SOC2
目的 財務報告に関連する内部統制に関する保証報告書 (整備・運用) であり、顧客のUS-SOX、JSOXおよび内部監査で利用される。 財務報告以外 (セキュリティ、信頼性、可用性、機密性、プライバシーなど) に関連する内部統制に関する保証報告書 (整備・運用) であり、顧客の業務選定や内部監査で利用される。
特長 財務報告に関連する情報の信頼性が中心であり、可用性や機密性に関する内部統制を保証するものでない。Type2の期間保証で取得されることが多い。 業務の内部統制の判断根拠としての規準 (Criteria) に基づいて評価する。日本では、当該規準にFISC安全対策基準を追加する報告書が発行されているケースもある。SOC1 (財務報告) 以外の目的の内部統制に利用することができる。
関連基準 日本 監査・保証実務委員会報告実務指針86号 IT委員会実務指針第7号『受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統制の保証報告書』(日本版ではプライバシーが対象外)
米国 AT-C Section 320(適用基準) (注1)
(旧 AT801)
(旧 SSAE16)
(旧 SAS70)
AT-C Section 105/AT-C Section 205(適用基準) (注5)
AICPA Guide: “Reporting on Controls at a Service Organizations Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy”
(旧 AT101)
国際 ISAE 3402 (注2) ISAE3000 (注6)
利用者 受託会社の経営者、委託会社および委託会社の監査人に限定される。 受託会社の経営者、委託会社および委託会社の監査人、特定の知識がある利害関係者に限定される。
適用状況 旧基準であるSAS70の時代から、受託業務に関しての保証として、海外では広く利用されている。 適用事例は徐々に拡大されており、特に、クラウド業者の実績 (Amazon AWS、salesforce.com、ニフティクラウドなど) が増加している。
保証タイプ Type1 (時点保証) およびType2 (期間保証)
注1)
米国保証業務基準AT-C Section 320: 米国公認会計士協会が定めた受託業務 (アウトソースサービスなど) に関する内部統制基準
注2)
国際保証業務基準3402 (ISAE3402): 国際会計士連盟が定めた受託業務 (アウトソースサービスなど) に関する内部統制基準
注3)
サービス・オーガニゼーション・コントロール1 (SOC1)、サービス・オーガニゼーション・コントロール2 (SOC2) について、詳しくは以下をご参照ください。
AICPA Service Organization Control (SOC) Report
※外部サイトへ移動します。(英語サイト)
注4)
ファイルサーバー・「KDDI Business ID」を除く
注5)
米国保証業務基準AT-C Section 105/AT-C Section 205: 米国公認会計士協会が定めた受託業務 (アウトソースサービスなど) に関する内部統制基準
注6)
国際保証業務基準3000 (ISAE3000): 国際会計士連盟が定めた受託業務 (アウトソースサービスなど) に関する内部統制基準

 

「KDDI クラウドプラットフォームサービス」は、SOC1のType1 (新規) を2015年3月30日付で取得しました。
「KDDI クラウドプラットフォームサービス」は、SOC1のType2 (新規) およびSOC2のType1 (新規) を2016年3月28日付で取得しました。
「KDDI クラウドプラットフォームサービス」は、SOC1のType2 (継続) およびSOC2のType2 (新規) を2017年3月10日付で取得しました。
「KDDI クラウドプラットフォームサービス」は、SOC1のType2 (継続) およびSOC2のType2 (継続) を2018年3月16日付で取得しました。

 

金融機関などコンピュータシステムの安全対策基準

お客さまに高品質なサービスをお届けし、安心してご利用いただくため、KDDIでは『金融機関などコンピュータシステムの安全対策基準 (注7)』に対するさまざまな取り組みを行っています。

注7)
金融機関などの拠り所・指針となる共通の安全対策基準として、公益財団法人 金融情報システムセンター (FISC) が作成したガイドラインです。本基準は、安全にコンピュータシステム構築・運用を行なうためにすべき対策内容が記載されており、自然災害、機器の障害、および不正使用行為などから生ずる金融機関などのコンピュータシステム障害発生の未然防止や影響の最小化、早期回復を図ることが目的となっています。
詳しくはKDDI 法人営業担当者までお問い合わせください。
このページは役に立ちましたか? 役に立った 役に立たなかった 1人中1人がこのページは役に立ったと言っています。
このページは役に立ちましたか? 役に立った 役に立たなかった 1人中1人がこのページは役に立ったと言っています。
2018/07/13 2018/07/13