米国企業改革法 (SOX 法)

SOX の概要

2002年のサーベンス・オックスリー法(SOX)は、証券取引委員会(SEC)が管理する米国連邦法です。 特に、SOXは上場企業に対し、財務諸表が財務結果を正確に反映していることを検証するために、適切な内部統制構造を確保する必要があります。 SOX は、特に財務報告の制御に関しては、顧客の内部プロセスの影響を大きく受けます。 たとえば、SOX 要件には、財務諸表の準備とレビューのための内部顧客コントロール、特に財務報告に関連する重要な変更の正確性、完全性、有効性、公開に影響を与えるコントロールが含まれます。

SEC は、SOX 認定プロセスを定義または課していません。 代わりに、上場企業が SOX レポート要件に準拠する方法を決定するための広範なガイドラインを提供します。

Microsoft と SOX

microsoft クラウド サービスのお客様は、Sarbanes-Oxley 法 (SOX) に準拠している場合、独自の SOX コンプライアンス義務に対処するときに、Microsoft が独立した監査会社から受け取った SOC 1 Type 2 構成証明を使用できます。 この構成証明は、財務報告に関する内部コントロールに関するレポートに適しています。

クラウド サービス プロバイダーに対する SOX 認定または検証はありませんが、Microsoft は、お客様が SOX の義務を果たすのを支援できます。 たとえば、SOX では、財務諸表の準備とレビュー、特に財務報告に関連する重要な変更の正確性、完全性、有効性、公開に影響を与えるコントロールの内部制御が必要です。 企業を支援するために、Microsoft は、幅広いアプリケーションの構築に使用できる広範なサービス ポートフォリオ全体で、このようなコントロールに関するレポートに適した SOC 1 Type 2 構成証明を維持しています。 これは、米国公認会計士協会(AICPA)の構成証明契約基準に関する声明(SSAE 18)と保証契約に関する国際標準第3402号(ISAE 3402)に基づいています。 (この構成証明は SAS 70 に置き換えられました)。

サード パーティの監査会社によって作成された監査レポートは、指定した日付に動作し、指定された期間にわたって効果的に動作するように Microsoft のコントロールが適切に設計されたことを証明します。 お客様は、レポートを確認して、Microsoft コントロールの目的とそのコントロールの有効性について学習し、補完的なコントロールにアクセスできます。

Microsoft では、お客様とのコンプライアンスの責任を共有します。 Microsoft では、コンプライアンス プログラムに関する詳細を提供しています。これは、認定するサード パーティに詳細な監査結果を要求することで確認できます。 ただし、最終的には、当社のサービスが、お客様のビジネスに適用される特定の法律および規制に準拠しているかどうかを判断するのは、お客様次第です。 たとえば、クラウド リソースへのユーザー アクセスなど、SOX 関連のセキュリティ制御があります。これは、お客様の責任です。organizationは、SOX コンプライアンスの一環として、これらのコントロールの適切な監査を開発する必要があります。

対象となる Microsoft のクラウド プラットフォームとサービス

• Azure
• Dynamics 365
• Intune
• Office 365
• Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)

Azure、Dynamics 365、SOX

クラウド導入が勢いを増すにつれて、SOX コンプライアンス義務の対象となるアプリケーションとワークロードをクラウドに移行する方法を模索する顧客が増えています。 クラウド サービス プロバイダーの SOX 認定または検証はありませんが、Azure は SOX の義務を満たすのに役立ちます。

SOX コンプライアンス義務の対象となる場合は、次に従って実行される Azure SOC 1 Type 2 構成証明を確認する必要があります。

• SSAE No. 18, 構成証明基準: 明確化と再書き込み, AT-C セクション 320 を含みます, ユーザーエンティティの内部制御に関連するサービス組織でのコントロールの検討に関するレポート (AICPA, プロフェッショナル標準).
• 財務報告に対するユーザー エンティティの内部統制に関連するサービス組織での統制の調査に関する SOC 1 報告 (AICPA ガイド)。

AICPA SSAE 18 標準では SAS 70 が置き換えられ、財務報告に関するユーザー エンティティの内部コントロールに関連するサービスorganizationコントロールに関するレポートに適しています。 これは、Azure にデプロイされた資産に対する業界固有のコンプライアンス義務を追求するときに、テクノロジ サービス プロバイダーのサード パーティのレビューに依存できる正式な監査です。 これには、特定の監視期間中に関連する制御目標を達成するための制御有効性に関する監査人の意見が含まれます。

Office 365と SOX

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

• クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
• Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
• Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
• Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
• Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性

範囲内のサービス

商用

拡張ループ、自動代替テキスト、Azure Information Protection、バイナリ変換サービス、Bookings、Delve、ドキュメント項目、エディター、Exchange Online、Forms、オンライン メディアの挿入、分析情報、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Graph、Microsoft Teams、MyAnalytics、Office 365 Cloud App Security、Office 365 グループ、OneDrive for Business、Planner、Power Apps、PowerApps、Power Automate、Power BI、PowerPoint Designer、PowerPoint Online Document Service、SharePointオンライン、Skype for Business、StaffHub、Stream、Sway、To-Do、Web レンダリング サービス、Viva Engage

監査、レポート、証明書

SOC 1 Type 2 reports for:

• Azure と Power BI
• Dynamics 365
• Office 365

よく寄せられる質問

Microsoft SOX コンプライアンスを使用して、organizationのコンプライアンス プロセスを促進するにはどうすればよいですか?

対象となる Microsoft クラウド サービスにアプリケーションとデータを移行する場合は、Microsoft が保持する構成証明と認定資格に基づいて構築できます。 独立監査人レポートは、データのセキュリティとプライバシーを維持するために Microsoft が実装したコントロールの有効性を証明します。 ただし、お客様は、organizationが適用されるすべての法律および規制に準拠していることを保証する責任を完全に負います。

リソース

• Azure コンプライアンスのドキュメント
• Microsoft コンプライアンスのサービス
• Microsoft Trust Center のコンプライアンス
• 2002年のサーベンス・オックスリー法 (SOX)
• 証券取引委員会 (SEC)
• Microsoft Cloud の金融サービス リソース
• Microsoft Cloud 金融サービス コンプライアンス プログラム
• クラウド コンピューティング規制原則と Microsoft オンライン サービスのコンプライアンス マップ
• 金融サービス業界のユース ケース