SOC 2報告書（SOC 2）

SOC 2報告書とは、ひとことで言えば、クラウドサービス事業者などの内部統制の有効性を独立監査人が評価した報告書です。たとえば、企業がSaaSベンダーを選定する際に「SOC 2 Type II報告書を提出してください」と求め、そのベンダーのセキュリティ・可用性・処理の整合性・機密性・プライバシーに関する統制が継続的に機能しているかを確認します。Type Iは「ある時点での統制の設計」を評価し、Type IIは「一定期間（通常6〜12か月）にわたる統制の運用有効性」を評価するため、Type IIの方がより信頼性が高いとされます。ISO 27001が「認証」であるのに対し、SOC 2は「報告書」であり、合否ではなく統制の詳細な評価結果が記載される点が特徴です。