NTTコムウェアは2009年11月11日、同社の東京データセンターを対象に内部統制の整備・運用状況に関する「米国監査基準70号（SAS70）」に基づいた監査報告書を取得したと発表した。今回、同社が取得したのは、内部統制の整備状況を保証する「SAS70 type1」の報告書。J-SOX（日本版SOX法）や米SOX法（サーベインズ・オクスリー法）に対応する顧客に無償で提供する。

　NTTコムウェアがSAS70 type1の対象範囲としたのは、東京データセンターのハウジングサービスである。このうち物理的セキュリティと、保守・運用のプロセスについて内部統制を整備した。

　東京データセンターのハウジングサービスを利用している企業は、NTTコムウェアからSAS70 type1の報告書を入手することで、アウトソーシング先に対する内部統制の整備状況の確認を省略できる。J-SOXでは、委託先の内部統制の整備・運用は委託元が確認することを義務付けている。同社は2009年8月31日付で、監査報告書を入手した。

　NTTコムウェアは2010年度内を目途に、内部統制の運用状況を保証する「SAS70 type2」の報告書も取得する計画だ。日本にもSAS70と同様の「監査基準委員会報告書第18号」がある。米国監査基準に基づいた報告書を入手した理由について、NTTコムウェアの担当者は「顧客企業に外資系企業がいるため、SAS70であればJ-SOX対応の顧客も含めてカバーできると判断した」と説明する。