
SOC 2 が本当に意味すること(そして意味しないこと)
SOC 2 は American Institute of CPAs が運用する監査フレームワークです。独立監査人がソフトウェアベンダーを Trust Services Criteria と呼ばれる一連の管理項目に照らして審査し、レポートを発行します。政府の免許ではなく、単純な合格/不合格の一律スタンプでもありません。購入者が読み込む詳細なレポートです。
知っておくと最も役立つのは、ベンダーが常に混同させがちな2種類のレポートの違いです。
- SOC 2 Type I は、管理体制がある1日において正しく設計されていたことを確認するものです。1回のスナップショットです。
- SOC 2 Type II は、その管理体制が6〜12か月の期間にわたって実際に機能していたことを確認するものです。実績の証明です。
重視すべきなのは Type IIであり、Gorgias が保有しているのもこちらです。Type I レポートは1日分の事務作業で取得できますが、Type II は監査人がほぼ1年近くにわたって管理体制の運用を観察したことを意味します。

監査人がカバーできる Trust Services Criteria は5つあります:Security、Availability、Processing Integrity、Confidentiality、Privacy です。必須なのは Security(「Common Criteria」)のみで、残りの4つはベンダーの裁量で含めるかどうかが決まります。これが、ロゴを信じるのではなく実際のレポートを読むべき理由の一つです。まずプラットフォーム自体の背景を知りたい場合は、Gorgias レビューで日々の製品の動作を解説しています。
Gorgias は SOC 2 に対応している?はい、Type II です
Gorgias は SOC 2 Type II を保有し、毎年更新しています。そのTrust Centerによれば、最新の更新は 11/30/2024 に付与され、これで4年連続とのことで、「Gorgias SOC 2 Type II Report 12.31.2025.pdf」というダウンロード可能なレポートが掲載されています。Gorgias は6か月間の独立監査の後、この認証を初めて発表し、2022年以降更新を続けています。(11/30/2024 という日付は最新の更新が付与された日であり、レポートのファイル名は単にそのレポートがカバーする監査期間を反映しているだけで、12/31/2025 までとなります。)バッジの背後にある企業についての背景は、Gorgias の所有者についての記事をご覧ください。
Trust Center は Vanta 上で運用されており、バッジの背後にある管理体制は年に1回チェックして忘れられるのではなく、継続的に監視されているということです。これは良い兆候です。コンプライアンスを生きたシステムとして扱うベンダーと、年に一度の防災訓練のように扱うベンダーとの違いです。同じことは、あなたが検討しているどのAI ヘルプデスクエージェントにも当てはまります。継続的な監視は、古びた PDF に勝ります。
Gorgias の SOC 2 レポートを入手する方法
実際のレポートは短い申請の後ろに置かれており、これは普通のことです。SOC 2 レポートには十分な内部情報が含まれているため、ベンダーが公に公開することはほとんどありません。手順は次のとおりです。
- Gorgias Trust Center を開き、非公開の「SOC 2 Type II Report」文書を見つけます。
- 「Request Access」フォームを送信します(セキュリティページからも同じ申請が Vanta ポータル経由で行えます)。security@gorgias.com にメールを送ることもできます。
- すでに有料プランに加入している場合、近道があります。Gorgias の DPAの第8条により、顧客は12か月以内かつ管理体制に重要な変更がない限り、自社での現地監査を実施する代わりに最新の SOC 2 Type II レポートを受け入れることができます。
この3番目のポイントは、見た目以上に価値があります。小規模な ecommerce チームにとっては、ベンダーが提供する SOC 2 Type II レポートがセキュリティレビューそのものになることが多く、自社で監査を委託する代わりにそれを読むだけで済みます。同じ Trust Center では、調達チームが完全なセットを求める場合に向けて、ペネトレーションテストのレポート、インシデント対応計画、暗号化ポリシーも非公開で提供しています。
Gorgias のコンプライアンスの全体像
ここでマーケティングと実態が少しずれてきます。「Gorgias はエンタープライズグレード」という主張が多く流布しているため、どの認証が本当に Gorgias 自身のものであり、どれがスタック内の別の存在に属しているのかを正確に整理する価値があります。
| フレームワーク | Gorgias のステータス | 実際の内容 |
|---|---|---|
| SOC 2 Type II | ✅ 保有、毎年更新(4年目) | 自社認証。レポートの日付は 12/31/2025、Trust Center 経由 |
| SOC 2 Type I | 上位互換で不要 | Gorgias はより厳格な Type II を保有しており、単独の Type I は公開されていない |
| GDPR | ✅ 準拠 | EU/英国/スイスの SCC を含む公開DPA |
| CCPA / 米国プライバシー | ✅ 準拠 | Trust Center に「CCPA Compliant」バッジ、DPA にも明記 |
| HIPAA + BAA | ⚠️ 申請すれば利用可 | 提供されているが、レポートと BAA はアクセス申請の後ろに非公開 |
| ISO 27001 | ❌ Gorgias 自身のものではない | ホスト元である Google Cloud のものであり、Gorgias のものではない |
| PCI DSS | ❌ 保有していない | カード情報は保存されず、決済は Stripe に委任 |
つまり誠実にまとめると:SOC 2 Type II は Gorgias が保有し監査を受けている認証であり、GDPR、CCPA、HIPAA は個別の証明書ではなく契約・運用面で対応されており、ISO 27001 と PCI DSS は Gorgias 自身のものではありません。これは決して欠点ではなく、ecommerce ヘルプデスクとしては通常の、しっかりした姿勢です。ただし、ベンダーレビューを書く際には ISO 27001 バッジではなく SOC 2 Type II レポートを引用すべきということです。(コストが本当の疑問であれば、Gorgias 料金ガイドとGorgias チケット上限の解説で課金モデルを取り上げています。)
バッジの先にあるもの:Gorgias によるデータの取り扱い
証明書は概要にすぎません。実質的な内容は、誰も監査していないときにベンダーがあなたのデータをどう扱っているかであり、Gorgias の2025年セキュリティホワイトペーパーと DPA はこの点について比較的具体的です。
暗号化。 Gorgias はデータを「HTTPS の TLS 暗号化接続のみを通じて」送信し、サーバー上のすべてのデータは Google Cloud のキー管理サービスで管理される鍵によって保存時に暗号化されます。細部を気にする方への注意点として、Gorgias 自身のページは「保存時に暗号化」と述べるだけで AES-256 のような具体的な暗号方式を明示していないため、セキュリティチームがそれを文書として必要とする場合は直接問い合わせてください。
ホスティングとデータレジデンシー。 Gorgias は AWS ではなく Google Cloud Platform 上で稼働しています。これは多くの購入者が最初に持ちがちな思い込みとは異なります。暗号化されたバックアップは複数の Google Cloud リージョンにわたって保持されており、サブプロセッサ一覧には Google Cloud が米国、EU、オーストラリアに広がっていることが示されています。Gorgias が公に約束していないのは、単一テナントに対する EU 限定のデータレジデンシーオプションです。データレジデンシーが必須要件である場合は、契約前に必ず書面で確認してください。
データが実際にどこへ流れるか。 これは SOC 2 バッジだけでは分からない部分です。顧客のサポートデータは Gorgias 内に留まるだけでなく、名前が挙げられた一連のサブプロセッサへと流れていきます。そして、これこそが SOC 2 が管理体制を敷こうとしている対象です。

サブプロセッサ一覧(2026年3月30日最終更新)には、AI 機能向けのOpenAI、決済向けのStripe、SMS と音声向けのTwilio、さらに Cloudflare、Datadog などが含まれます。これらの大半はデータが米国内に置かれており、そのために DPA には EU 転送の仕組みが用意されています。有用な点として、DPA の第5条により、新しいサブプロセッサが追加される場合は15日前の事前通知があり、データ保護上の理由で異議を申し立てる10日間の期間が確保されます。
侵害通知と削除。 知っておくべき2つの数字があります。セキュリティ侵害が発生した場合、Gorgias は決められた期間内に通知することを約束しています。
"[We] notify Customer of a Security Breach without undue delay, and in any event within 72 hours after becoming aware of it."
この文言はGorgias の DPA の第6条からのものです。そして契約終了時には、第9条により Gorgias は契約終了後90日以内に個人データを返却・削除することが義務付けられていますが、バックアップコピーは失効するまで一定期間残る可能性があります。削除申請の実践的な手順を知りたい場合は、別記事のGorgias の GDPR とデータ削除ガイドをご覧ください。
テスト。 Gorgias は年次のグレーボックスペネトレーションテストを実施し、インシデント用の公開ステータスページを公開しています。誠実に指摘しておきたい不整合として、2025年のホワイトペーパーではアクティブな非公開バグバウンティプログラムが説明されているのに対し、実際のセキュリティページでは「現在一時停止中」と書かれています。些細なことですが、慎重な審査者なら気づくような点です。参考までに、Gorgias の実際のデータ侵害についての公開記録は見つかりませんでした。
アクセス制御:SSO、SAML、2FA
コンプライアンス証明書はバックエンドをカバーします。日常的には、チームが実際に触れるセキュリティ管理はログインであり、この点で Gorgias はエントリーレベルのほとんどのヘルプデスクよりも寛容です。
| 管理項目 | 利用可否 |
|---|---|
| Google および Microsoft 365 SSO | ✅ すべての Helpdesk プラン |
| カスタム SAML SSO(Okta、JumpCloud) | 別途「カスタム SSO」設定が必要(必要なプラン階層は非公開) |
| 二段階認証(2FA) | セルフサービス。管理者は強制可能、14日間の猶予期間あり |
| ロールベースの権限 | ✅ 利用可能 |
| メール確認によるフォールバック | 新しい場所や30日間未使用の IP からのアクセスで発動 |
注目すべきは、Google と Microsoft の SSO がすべての Helpdesk プランで利用できる点で、エンタープライズ階層に限定されていないのは良い判断です。Okta などによるカスタム SAML SSO は別途設定が必要で、Gorgias のドキュメントはどの有料プランで必要になるかを公に明示していないため、SAML が必須であれば直接問い合わせてください。管理者はワークスペース全体に2FA を強制し、14日間の適用猶予期間を設けることもでき、承認済みのメールドメインによる自動参加を設定することもできます。アカウントを管理している場合は、Gorgias サインインガイドでアクセスの基本を解説しています。
SOC 2 は最低条件であり、それがすべてではない
ここで、すべての ecommerce 創業者に持ち帰ってほしい視点の転換があります。SOC 2 Type II レポートは必要不可欠であり、Gorgias は良いものを保有しています。しかし2026年、あなたのサポートツールはもうチケットを保存するだけの存在ではなく、Shopify の注文データを読み取り、返金を発行し、サブスクリプションを編集するGorgias AI サポートエージェントを動かしています。バッジはベンダーの管理体制を監査するものであり、その AI がデータで何をするかまでは答えてくれません。

標準的な SOC 2 レポートの範囲外にある3つの質問があり、それらは Gorgias を含むどの AI サポートベンダーにも尋ねるべき質問です。
- ベンダー(またはその AI サブプロセッサ)はあなたのデータでモデルを学習させているか? Gorgias はサブプロセッサとして OpenAI を利用しています。OpenAI の API 利用規約ではビジネスデータは学習に使用されないとされていますが、思い込むのではなく、その連鎖を明示的に確認すべきです。
- あなたのデータは他の顧客からどれほど分離されているか? マルチテナント SaaS は一般的ですが、分離の厳密さは様々であり、マーケティングページで詳しく説明されることはほとんどありません。
- AI エージェントは実際に何をどこまで見て実行できるか? 返金を発行し、すべての顧客の注文履歴を読み取れるエージェントは、FAQ に答えるだけのチャットボットよりもはるかに大きなセキュリティ面のリスクを持ちます。範囲の制御はセキュリティ機能の一つです。
これらは Gorgias を避けるべき理由ではなく、どのAI ヘルプデスクにも適用すべき基準であり、SOC 2 レポートと並べて自社のベンダーチェックリストに組み込む価値があります。この観点で選択肢を比較しているなら、最良の AI ヘルプデスクソフトウェアのまとめではデータの取り扱いも機能だけでなく評価しています。Shopify サポートに最適な AIについてのガイドでも同様のアプローチを取っています。
eesel を試す
これら3つの質問を念頭に置いて AI サポート層を評価しているなら、それはまさに eesel が構築された視点です。eesel はすでに使っているヘルプデスクの中で自律型 AI エージェントを動かし、データの取り扱いを最優先の機能として扱っています。あなたのデータはいかなるモデルの学習にも使われません。各ワークスペースは他のすべての顧客から完全に分離されており、ライブチケットに触れる前に、シミュレーションとスコープ設定のセットアップを通じて、エージェントが何を見て何をできるかを正確にコントロールできます。
コンプライアンス面では、eesel は標準および個別カスタムの DPA によりGDPR と CCPA に準拠しており、削除申請には60日以内に対応し、Vanta による継続的な監視のもとで SOC 2 Type II を取得中です(完了後は NDA のもとで完全なレポートが利用可能になります)。詳細はeesel のセキュリティページで確認できます。あるいは、無料で始めるを選び、まず自社のデータに対してエージェントのスコープを設定してみることもできます。コスト面での比較については、Gorgias 料金の解説で AI エージェントが実際にどれだけのコストになるかをまとめています。
よくある質問
Gorgias は SOC 2 に準拠していますか?
Gorgias の SOC 2 レポートのコピーはどうすれば入手できますか?
Gorgias は GDPR と HIPAA に準拠していますか?
Gorgias は私のデータをどこに保存していますか?
AI サポートツールを信頼するには SOC 2 バッジだけで十分ですか?

Article by
Alicia Kirana Utomo
Kira is a writer at eesel AI with a Computer Science background and over a year of hands-on experience evaluating AI-powered customer service tools. She focuses on breaking down how helpdesk platforms and AI agents actually work so that support teams can make better buying decisions.







