ブロックチェーンに関する内部統制・ガバナンスの構築・評価支援サービス、SOCレポート保証業務

ブロックチェーンに係る内部統制の必要性

ブロックチェーンは、その技術特性により高い改ざん耐性を持ちます。しかし、ブロックチェーンへのデータ入力時や、ブロックチェーン上のデータを利活用する際の内部統制が適切に行われていない場合、システム全体としては信頼性を担保できなくなるリスクがあります。

これは、ブロックチェーンには、「可用性」「改ざん耐性」「ビザンチン障害耐性」「追跡可能性」が高いといった技術的なメリットがある一方で、システムが適切に管理され、意図しないデータの改ざんや漏洩を防ぐ体制になっていることを内部統制によって担保できなければ、技術的なメリットを生かした適正な運用とシステムの信頼性が保証できないためです（図表1）。

したがって、ブロックチェーンを活用して真に信頼性の高いシステムを構築するためには、ブロックチェーンにおける基盤技術（ブロック生成に係るハッシュ関数、電子署名技術など）を理解した上で、付随する技術特性に合わせた内部統制を適切に構築・管理してシステム全体としての信頼性を担保し、外部に証明する必要があります（図表2）。

図表1 ブロックチェーンの機能性による信頼性担保の限界

図表2 ブロックチェーン利用システムにおける内部統制検討観点の例

①チェーンへの参加者や規模、ノードの役割、コンセンサスアルゴリズムなどの特性に応じたリスクの理解

②ファイナリティと各ノード間の同期のタイミングを考慮したデータ利活用

③ウォレットおよび鍵管理に係る内部統制の構築

ウォレットおよび鍵とブロックチェーン間の仕組み
秘密鍵の保管場所および管理方法
アドレス間の関係性や鍵を利用した署名方式に適合した管理体制
デジタル資産の所有権を担保する内部統制

④ブロックチェーンと周辺システム間のデータ入出力や、スマートコントラクト管理などに係る内部統制の構築

SOCレポートによる信頼の付与

ブロックチェーンに係る内部統制の構築および証明については、2021年4月23日に日本公認会計士協会より、ブロックチェーンを対象にした保証業務に関する指針「非パブリック型のブロックチェーンを活用した受託業務に係る内部統制の保証報告書に関する実務指針」が公表されています。

これは、ブロックチェーンに関連する業務の提供者からの依頼によって、独立した第三者である監査法人や公認会計士が、情報セキュリティやリスク管理態勢、関連する内部統制について、客観的に一定の基準に基づき証明する報告書制度（図表3）の一つであるSOC （System and Organization Controls）レポートに関する指針です。

図表3 内部統制の有効性の開示例

SOCレポートは、業務を受託する側から委託元に対して、財務報告に関する内部統制の信頼性を証明する目的で制定されたものですが、財務報告以外の目的で利用するケースも踏まえ、SOC1、SOC2、SOC3の3種類に大別されます（図表4）。これらのレポートは、昨今の重要なビジネスプロセスの外部委託拡大に伴い、業務を受託する側の情報セキュリティや受託業務品質などのリスク管理、内部統制の高度化対応の取り組みに活用されています。（図表5）

図表4 SOCレポートの類型

カテゴリー	主題	実施基準	規準	想定利用者
SOC1	受託会社の財務報告に係る内部統制	日本基準：保証業務実務指針3402 米国基準：AT-C 205&320 国際基準：ISAE3402	左記の実施基準の要求事項を満たした規準	受託会社、委託会社、委託会社の監査人
SOC2	受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統制	日本基準：保証業務実務指針 3852 米国基準：AT-C 205	保証業務実務指針 3852　付録5 Trust Services Principles and Criteria(AICPA)	委託会社、予想される委託会社、委託会社の監査人、委託会社または受託会社に係る規制当局等
SOC3	受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統制	日本基準：保証業務実務指針3850 米国基準：AT-C 205	Trust Services Principles and Criteria(AICPA) Trust Service Principles and Criteria for Certification Authorities(AICPA,CPA Canada) WebTrust for Certification – SSL Baseline with Network Security Requirements Audit Criteria(AICPA,CPA Canada) WebTrust Principles and Criteria for Certification Authorities-Extended Validation SSL(AICPA,CPA Canada)	不特定多数の利用者

図表5 SOCレポート利用・発行のメリット

PwCのサービス

PwC Japan有限責任監査法人は、企業がブロックチェーンを活用する業務に関して、情報セキュリティやリスク管理態勢、関連する内部統制などのガバナンス体制構築を支援します。また、独立した第三者として、企業が当該ガバナンス体制について発行するSOCレポートの保証業務を展開します。

企業がITガバナンスにおける課題やシステムリスクを認識する上では、利害関係のない外部の専門家による客観的かつ適切な評価が有効です。また、改善策の立案および実行段階では、利害が錯綜することにより対応が不十分となるケースも多いため、外部の専門家を活用することで、その実効性を高めることができます。

私たちはITリスクの専門家として、暗号資産および分散台帳技術の重要性に早くから着目し、当該技術に特有のリスクを管理・低減するためのアドバイザリー業務や、各種関連法規制の要求事項を遵守するための当局対応支援に多数の実績を有しています。また、金融サービス事業者に対する豊富なサービス提供経験や、PwCのグローバルネットワークとの協業を生かし、独立した専門家としての観点から、リスク評価をさまざまな形で支援しています。

関連サービス

アウトソーシング事業者向け内部統制評価支援 SOC保証報告書