登壇者
江夏 あかね氏
株式会社野村資本市場研究所
野村サステナビリティ研究センター長
平松 宏一郎
PwC Japan有限責任監査法人
パートナー
モデレーター
丸山 満彦
PwCコンサルティング合同会社
パートナー
ランサムウェアなどのサイバー攻撃が増える中、サイバーリスクの管理は経営課題として一段と重みを増しています。被害が長期化するケースもあり、投資家の関心も高まっています。本セッションは金融資本市場の視点からサイバーセキュリティを研究する野村資本市場研究所の江夏あかね氏と、内部統制監査を通じて企業のサイバーリスクに携わる平松宏一郎とともに、サイバーセキュリティリスクの開示や投資家との対話において、経営者に求められる姿勢を議論します。(本文敬称略)
(左から)丸山 満彦、江夏 あかね氏、平松 宏一郎
金融市場が評価する「サイバー耐性」と投資家の意識変化
丸山:
サイバー攻撃は株価に影響しないとはいえない状況になっており、こうした現実を踏まえることで、投資家が何を重視し、経営者に何が求められるのかが見えてきます。
最近のインシデント事例にみる株価の状況
インシデントを完全に防ぐことは困難ですが、発生後の対応によって影響の大きさは大きく変わります。予防策と同様に、事後対応の質が極めて重要です。
警察庁サイバー警察局が2024年3月に発表した「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によれば、ランサムウェアの届出件数は年間約200件で、平日に換算するとほぼ毎日1件のペースです。未届けの事案を含めれば実態はさらに多いことは間違いありません。なお、米国では桁違いに多い件数が報告されています。サイバーリスクは、もはや例外的なトラブルではありません。
こうした状況を踏まえ、投資家のサイバーリスクに対する意識も変わってきているのではないでしょうか。江夏さん、投資家はこの問題をどのように見ているのか教えてください。
江夏:
2010年代の終わりごろから、デジタルトランスフォーメーション(DX)の加速や人工知能(AI)の急速な普及により、企業のデジタル依存度が高まる一方、サイバー攻撃も複雑化・巧妙化し、被害は甚大化しています。攻撃対象は企業単体にとどまらず、サプライチェーン全体や社会インフラに波及するリスクも現実味を帯びています。
サイバー攻撃の影響は、事故対応や賠償といった財務面だけではありません。サービス停止や個人情報流出に伴う風評被害、顧客離れといった非財務面のダメージも大きく、結果として株価に影響が生じるケースも確認されています。
こうした環境変化を受け、投資家もサイバーリスクを重要な評価項目として捉え始めています。「ESG(環境・社会・ガバナンス)」の枠組みではリスク管理や統制体制の観点からガバナンスとして扱われることが多い一方、顧客情報の保護や社会への影響という意味で社会の要素として位置づけられることもあります。サイバーリスクはESGの複数の側面にまたがるテーマであるだけに、投資家との対話(エンゲージメント)でも主要な論点になっています。
近年、投資家に対して判断に必要な情報を届けるため、企業の情報開示は着実に広がっています。金融庁の「投資家と企業の対話ガイドライン」に加え、PRI(責任投資原則)やICGN(国際コーポレート・ガバナンス・ネットワーク)といった国際的な投資家コミュニティや議決権行使助言会社、ESG評価機関や信用格付会社においても、サイバーセキュリティを考慮する動きが広がっています。
私が所属する野村資本市場研究所でも、こうした金融市場の関心の高まりを受け、2023年7月から翌年4月にかけて「サイバーセキュリティと投資・金融関連制度に関する研究会」を開催しました。有識者や投資家の皆さまとともに、情報開示、金融規制、投資行動への影響などについて議論し、その成果の一部は活動報告および論文として公表しています。
株式会社野村資本市場研究所 野村サステナビリティ研究センター長 江夏 あかね氏
監査人から見たサイバーリスクの「立ち位置」とその変化
丸山:
次に平松さんにお聞きします。財務諸表監査ではサイバーリスクをどのように見ていますか。
平松:
「サイバー攻撃の財務影響」と聞くと、ECサイトや生産ラインの停止といった業績面が注目されがちです。しかし、江夏さんが指摘されたように、事故対応や賠償のコストが損失として計上される場合もあります。さらに、システム障害やデータの暗号化により、財務報告そのものができなくなる、あるいは遅れるケースも発生しています。
監査の領域では、2010年代から米国当局がサイバーリスクに注目し、監査人にも対応が求められるようになりました。当時の日本ではまだ実感が薄かったのですが、その後インシデントが一般化し、日本でも同様の対応が必要になっています。
こうした流れと直接の因果関係があるわけではありませんが、監査基準も改訂され、サイバーセキュリティリスクの記載が新たに加わりました。現在は財務諸表監査・内部統制監査の双方で、重要なリスクとして扱われています。
ただし基準の記載だけでは実務に十分反映できません。そこで2024年、日本公認会計士協会が「サイバーセキュリティリスクへの監査人の対応」という研究文書を公表しました。平時と有事それぞれで監査人が取るべき対応が示され、現場での指針となっています。
この文書では、監査上特に重要なリスクとしてデータ漏えい、データ改ざん、システム停止・データ暗号化の三点を取り上げています。監査では、インシデント発生時の損失見積もりが妥当か、監査意見を適時に出せる状況にあるかなどを確認します。こうした対応は、インシデント発生企業に限った話ではありません。平時から企業のサイバーセキュリティ体制や内部統制を理解し、リスクの評価を行うことが求められています。
PwC Japan有限責任監査法人 パートナー 平松 宏一郎
投資家が見るべき「サイバー開示」の要点
丸山:
ありがとうございました。財務諸表監査・内部統制監査の双方でサイバーリスクの重要性が高まっていることがよく分かりました。次に江夏さんに伺います。投資家が有価証券報告書でサイバーリスクを読み解くには、どこに注目すべきでしょうか。
江夏:
注目ポイントと併せて、まず開示の経緯からご紹介します。2019年1月の内閣府令改正により、有価証券報告書の事業等のリスク情報の開示が強化され、サイバーセキュリティに関する記載が本格的に求められるようになりました。
さらに2023年1月の改正では、サステナビリティに関する考え方や取り組みの開示が必須となりました。金融庁は、このサステナビリティ情報にサイバーセキュリティも含まれ得ると整理しており、ガバナンスとリスク管理については全ての企業に開示が求められています。一方、戦略や指標・目標については、各社が自社にとって重要と判断した場合に開示する仕組みです。
日本IT団体連盟の調査では、東証プライム企業の9割以上が有価証券報告書で、約半数がコーポレートガバナンス報告書でサイバーセキュリティに触れています。ただし、開示の深さや内容の質にはばらつきがあるとも指摘されています。
投資家が注目するポイントは大きく三つあります。まず、事業特性によってサイバーリスクの大きさは大きく異なるため、自社がどの程度エクスポージャーを抱えているのかが問われます。次に、そのリスクをどこまで把握し、どのような体制で管理しているのか。さらに、経営層がサイバーリスクをどのように監督し、意思決定に反映しているのかというガバナンス面です。近年はサプライチェーンや外部委託先まで含めたリスク管理への関心も高まっています。
いずれのポイントにも共通するのは「サイバーリスクが企業価値にどの程度影響しうるか」「その潜在リスクをどこまで抑え企業価値を守れているか」です。この軸で見ることが重要です。
PwCコンサルティング合同会社 パートナー 丸山 満彦
「何をどう開示するか」が問われるインシデント対応
丸山:
ありがとうございます。政府の動向も踏まえ、有価証券報告書や統合報告書でサイバーセキュリティリスクが重視されていることがよくわかりました。重ねて江夏さんに伺います。平時だけでなくインシデント発生時には、投資家はどのような情報を求めるのでしょうか。
江夏:
東証の上場規程では、災害や業務遂行上の事故によって損害が発生した場合、軽微なものを除き適時開示が求められています。サイバー攻撃についても同様で、被害の状況、漏えいの可能性がある情報の種類、発覚の経緯、開示時点での対応状況、今後の見通しなどが開示項目として想定されます。
また、セキュリティインシデントの発生や、それに伴う意思決定が投資判断に大きな影響を与える場合も、重要事実として適時開示の対象になります。つまり、企業価値への影響は、企業が行う適時開示の内容を通して投資家に判断されます。
加えて、開示の内容だけでなく、「どれだけ積極的に、真摯に開示するか」というスタンス自体も投資家にとって重要な判断材料になると考えられます。被害状況や業務影響、復旧を含む対応体制とその進捗を積極的かつ真摯に公表する姿勢は、企業の透明性と対応力を示し、信頼回復にもつながります。
丸山:
ありがとうございます。インシデント後の株価を見ても、積極的で真摯な情報開示の重要性がよく分かります。一方で、開示の基礎となる財務情報が正確でなくてはなりません。インシデントが発生した際、財務諸表監査の観点ではどのような影響があるのでしょうか。平松さん、解説をお願いします。
平松:
サイバーインシデントが起きると、企業はまず復旧と事業継続に全力を注ぎますが、財務報告の上では大きく二つのポイントがあります。一つは損失を適切に把握し見積もること。もう一つは、財務報告に必要なシステムとデータの可用性を確保することです。
被害が出た場合、情報漏えいへの補償費用や復旧・調査費用だけでなく、当局の罰金、取引先への損害賠償、契約に基づくペナルティなど、さまざまな費用が発生し得ます。これらを網羅的に把握して正確に計算するのは容易ではなく、訴訟や罰金の見積もりには法務専門家の関与も欠かせません。特に期末前後にインシデントが起きると、開示まで時間がない中で対応する必要があり、サイバーBCP(事業継続計画)に財務報告リスクへの備えも組み込んでおく必要があります。平時から情報資産や機密情報の棚卸し、各国の法規制や取引先契約の整理を進め、インシデント発生時にどの程度の損害が生じ得るか、あらかじめ試算しておくことが有益です。
システム・データへの影響については、被害の出た箇所だけでなく、どこまでが侵害され、どこからが無事なのかを正確に特定することが重要です。「この範囲までは問題なし」と表面的に判断するのではなく、軽微なインシデントも含め、影響がないことを調査で裏付ける必要があります。
また、復旧までの間は表計算シートやファックス、電話など、通常と異なる運用に切り替わることがあり、このような統制環境下では不正や誤りのリスクが高まります。親会社だけでなく海外子会社を含むグループ全体で対応する必要があるため、こちらも平時からの備えが欠かせません。
もう一つ、インシデントを検知した際はぜひ監査人にも一報を入れていただければと思います。初動対応のリストに監査人を加えておくと、その後の対応がスムーズになります。決算遅延が見込まれるような重大インシデントの場合は、規制当局や取引所との緊密な連携も重要です。
開示とガバナンス、経営者に求められる二つの責務
丸山:
会計上の見積もりは難しく、会社側・監査人ともに大きく気にする点です。インシデント発生後に慌てないためにも、普段からどの程度の影響があり得るか準備しておくことが重要ですね。規制当局との連携も、決算発表が遅延する事例が実際に出ていますので、平時から頭の体操をしておくことが大事だと思います。
最後にお二人から一言ずつ、投資家を意識した場合に経営者は特に何を気にすべきか、お聞かせください。
平松:
サイバーインシデントは予防・防止措置を講じていても防ぎ切れるものではありません。発生を想定し、適時適切な情報開示ができる体制を整えておくことが非常に大事です。
私は財務報告リスクや監査の観点からお話ししてきましたが、投資家の方々にとってサイバーセキュリティリスクは事業継続を脅かし、企業価値を大きく損なうビジネスリスクとして捉えられることが多いと思います。
攻撃者の増加と手法の高度化により、リスクは常に変化しています。企業のリスク評価を日々更新し、その再評価に基づいてサイバーセキュリティ対応を見直し続けるガバナンスが重要です。そして、そのガバナンスの在り方を情報開示していくことも、経営者の重要な責務だと考えています。
江夏:
企業にはさまざまなステークホルダーがいますが、投資家は円滑な資金調達に欠かせない存在であり、真摯に向き合うべき相手です。投資家が求めているのは、企業価値に実際に影響がある、あるいは潜在的に影響し得る情報です。平松さんから「適時適切」という言葉がありましたが、IRの観点でも、公正性・自発性・適時性・公平性・透明性・比較可能性という六つの基本原則が重視されています。
最近では、サイバーセキュリティをテーマとしたエンゲージメントが増えており、投資家が客観的な視点から建設的な意見を寄せるケースも見られます。現時点では、サイバーセキュリティに関する情報開示の世界共通の枠組みは存在しません。だからこそ、定量的な情報に加え、経営層の考え方や意識といった定性的な情報も併せて伝えることが、投資家の理解促進につながると考えます。
丸山:
サイバーセキュリティリスクに真摯に向き合い、その対応を積極的かつ自発的に開示していく姿勢が、投資家にとっていかに重要かがよく分かりました。また、そのための開示データを平時から整えておくことの大切さも改めて確認できました。本日はありがとうございました。
(左から)丸山 満彦、江夏 あかね氏、平松 宏一郎
