コラム 第三者保証制度の活用：アウトソーシング事業者の負担軽減と利用会社が求める要求水準を両立させる新たな取り組みについて

アウトソーシング市場の拡大と外部委託管理の強化

昨今、外部委託を活用したコスト最適化や委託先が保有する高度なノウハウの活用が進んでおり、多くの企業は自らが得意とする分野にリソースを集中させるため、クラウドサービスをはじめとしたアウトソーシング市場は拡大していくことが予想されています。

金融情報システムセンター（以下、FISC）のパブリッククラウドの利用事例調査（注1）によると、厳しい規制環境下に置かれている金融機関においても、クラウドサービスの活用が拡大しており、顧客管理や取引先管理など、顧客情報を扱う業務でも多く見られるようになっています。

一方、顧客情報の漏えいやサービス停止など、外部委託を用いることによるリスクも顕在化しており、利用会社のリスク管理部門や内部監査部門、規制当局からの要請を背景に、外部委託先（以下、受託会社）に対するより厳密な監査や監督を求める要望が高まっています。

従来のアプローチの問題点

受託会社では、利用会社の要求事項を満たそうとして苦労することが多くあります。特にユーザーを獲得している受託会社では、リスク管理体制や利用会社が順守すべき法令やガイドラインへの対応状況について質問や照会を受けており、その対応に多くの時間やリソースを費やしています。

受託会社は、利用会社に対する説明責任を果たすため、財務報告を主目的とした報告書（米国基準：SSAE16、日本基準：86号）（注2）の取得や情報セキュリティに関する認証を取得する方法が、従来では多く活用されてきましたが、それだけで利用会社が昨今必要している要求範囲や水準に十分に答えているといえるのでしょうか。

利用会社においても、受託会社に対する立入監査や訪問調査等の実地確認を実施していたりしても、ある一時点における限定的な状況確認にとどまっており、費やした時間や労力に見合った結果を得られるケースは少ないのではないでしょうか。また、受託会社の情報セキュリティに関する認証や財務報告を目的とした保証報告書の確認のみで、規制当局や株主などを含めたステークホルダーに対して、十分な監督義務を果たしていると説明できるのでしょうか。

SOC2保証報告書の積極的な活用

利用会社に対する説明責任を果たす1つの方法として、米国のクラウドサービスプロバイダを中心に、受託会社が提供するシステムやサービスに関するセキュリティや可用性に関するシステムリスクの統制を包括的にカバーした報告書（米国基準：SOC2、日本基準：IT7号）（注3）の取得が進んできました。

また最近では、受託会社の負担軽減と利用会社が求める保証水準の提供の両立をより促進する新たな取り組みも進んでいます。PwC USでは、他のプロフェッショナルファームと協働で、特定業界向けの新たな規準の策定を行っており、例えば銀行業界に対して、データ管理に関する新たな規準や既存のセキュリティ／可用性に関する追加の規準策定を行っています。

日本においてSOC2保証報告書は、やや馴染みが薄かったものの、前述のFISC「金融機関におけるクラウド利用に関する有識者検討会報告書」にて、クラウド事業者に対する立入り監査を第三者監査で代替する場合の1つのスキーム例として挙げられており、今後は金融機関を主要なターゲットとしたITサービスを提供している受託会社を中心に、SOC2のスキームを活用した取り組みの検討／推進が増加することが予想されます。

あらた監査法人では、第三者保証制度を利用会社と受託会社の双方にとって価値の高いものにするため、単に第三者保証報告書を発行するだけでなく、多数の保証業務やリスク管理態勢評価／改善業務を通じた知見、またPwCグローバルネットワークを活用して、保証スキームの計画段階からさまざまな支援を行っています。
どのようなステークホルダーに対して、何の報告を実施し、どのような保証を得るべきか、そのためにどのようなアプローチが考えられるか、お悩みがある場合には、事例紹介等も含めたアドバイスをいたします。ぜひご相談ください。

（注1）FISC「金融機関におけるクラウド利用に関する有識者検討会報告書」、2014年11月4日公表

（注2）SSAE16保証報告書：米国公認会計士協会が公表したガイダンスに基づいて、受託会社の財務報告に関連する内部統制を評価した報告書のこと。

（注3）SOC2保証報告書：米国公認会計士協会が公表したガイダンスに基づいて、受託会社のセキュリティ、可用性など会計報告以外の内部統制をTrustサービスなどの基準で評価した報告書のこと。