DeepL Logo

DeepLがSOC 2 Type 2レポートを取得、セキュリティと機密性をさらに強化

SOC 2 Type 2レポートとDeepL

  • SOC 2 Type 2レポートは、セキュリティ、可用性、処理の整合性、機密性、プライバシーに関して、企業の内部統制を評価した報告書です。
  • SOC 2レポートの取得は、世界トップクラスのデータ保護とセキュリティの実現に対するDeepLの継続的な取り組みを示しています。
  • DeepLのSOC 2 Type 2レポートの全文をご覧になりたい方は、こちらからご要望ください。

お客様の職場では、ツールやベンダーの選定に特定のセキュリティ要件が課されていますか?もしそうであれば、それは企業のあるべき姿です。GDPRからISO 27001まで、ツールなどの選定の際に考慮すべきデータセキュリティおよびプライバシーに関する重要な規則や規格は数多くあります。

そして、セキュリティ対策に関して、DeepLから嬉しいお知らせです。この度DeepLは、SOC 2 Type 2レポートという、信頼性とセキュリティに関する新たな認証を取得しました。徹底した監査手順を伴うこの報告書は情報システムに関する安全性を証明するものとなります。セキュリティを重視する組織は、ツールやサービスプロバイダの選定の際にこの報告書を求めることが多いでしょう。

以下では、SOC 2 Type 2 レポートとは何か、なぜこのレポートが重要なのか、そしてどうしたらDeepLのレポートにアクセスできるか説明します。

SOC 2 Type 2レポートとは何か?

SOC 2 Type 2 の5つのトラストサービス基準を示したイラスト

システムおよび組織管理(Service and Organization Controls:SOC)2 Type 2レポートは、顧客情報に対する適正な内部統制を定義するために、トラストサービス基準(TSC)に従って米国公認会計士協会(AICPA)が作成したものです。 

SOC 2レポートの目的は、以下の5つのトラストサービス基準に基づき、企業や組織の情報システムを評価することにあります。

  • セキュリティ:セキュリティは機密情報や極秘情報を扱うすべての企業や組織にとって重要です。DeepLにとってセキュリティとは、適切な管理体制を整え、当社のシステムおよびデータを盗難、不正アクセス、または破壊から保護することを意味します。
  • 可用性:可用性は、日々の業務遂行にシステムやデータを必要とする企業にとって不可欠です。DeepLにとって可用性は、適切な管理を通し、当社のすべてのシステムとデータの一貫した利用を確保することを意味します。 
  • 処理の整合性:正確なデータに基づきビジネス上の意思決定を行う組織にとって処理の整合性は重要です。この基準を満たすには、データ処理の正確性と完全性を確保するための管理体制の整備が必要です。  
  • 機密性:機密性は、機密データや情報を扱う組織に欠かせません。DeepLにとっては当社のシステムおよびデータの機密性を保護するための管理の導入を意味します。たとえば、SOC 2 Type 2の監査では、当社がDeepL Proの翻訳データを一切保存しておらず、実質的にユーザーのデーターに対する完全な機密性が維持されていることが検証されました。
  • プライバシー:プライバシーは個人情報を収集、処理、保管する組織にとって重要であり、個人データのプライバシーを保護するための管理を指します。

DeepLの情報セキュリティ責任者であるMaximilian Ehrlichは、重要な点として「SOC 2 Type 2レポートの評価内容は各組織ごとに異なり、したがって、監査の対象である組織が、事業目的、リスク、およびトラストサービス基準の遵守を念頭に設計した組織固有の管理体制がレポートに反映されている」ことを挙げています。 

SOC 2 Type 2レポートは顧客データの管理方法に関する重要情報となるため、レポートは外部の監査法人によって発行されなければなりません。企業または組織が上記の5つのトラストサービス基準をどれだけ遵守しているか評価するのは監査法人の役目です。

SOC 2 タイプ 2レポートとタイプ 1の違い

ここまで読んで、SOC 2 Type 2レポートがあるならType 1もあるはずだと思われた方も多いでしょう。SOC2レポートにはType 1も存在し、両者の間には重要な違いがあります。 

Type 1とType 2レポートの主な違いは、Type 1が企業の管理体制の存在を評価したレポートであるのに対し、Type 2レポートでは、Type 1で示された管理体制に対する独立監査法人による実際のチェックが義務付けられている点です。  

EhrlichはType 2 レポートについて、組織の内部統制として「予め定義された方針と手順が、12ヶ月間の報告期間中、遵守されていた」ことを第三者が検証した報告書であると説明します。したがって、Type 2のレポートは企業のセキュリティ管理に関する、Type 1よりも強力な証明になります。 

SOC 2 Type 2レポートはなぜ重要なのか?

すべての企業がパートナー企業やサービスプロバイダにSOC 2 Type 2レポートを要求するわけではありませんが、セキュリティを重視する組織の大半は同報告書を求めるでしょう。

SOC 2 Type 2レポートでは、厳格で徹底的な監査が行われます。したがって、当レポートによって企業は、データセキュリティやプライバシーを最優先しているだけでなく、その証明に労力を厭わないことを潜在的なパートナー企業、サプライヤー、およびクライアントに明示できます。 

データセキュリティ、プライバシー、およびデータの保護はDeepLにとって最優先事項です。だからこそ、私たちはDeepL Proのサービスが公認会計士(CPA)によるSOC 2 Type 2認証レポートを取得できたことを非常に嬉しく思います。

Ehrlichは「DeepLのセキュリティに対する取り組みと私たちのセキュリティ対策が適正であることのさらなる証としてSOC 2 Type 2レポートの取得を公表できることを誇りに思う」とコメントしていますが、これは今回の報告書に対するDeepL内の反応を的確に言い表しています。

DeepLのSOC 2 Type 2レポートをご覧になるには

DeepL の SOC 2 Type 2(Service Organization Controls)レポートの表紙

DeepLに対する最終的な監査レポートをぜひ共有させてください。

また、DeepLで顧客データをいかに保護しているか詳しくお知りになりたい場合は、当社のデータセキュリティのページまたは機密情報の管理に関するブログをお読みください。