{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
サイバー攻撃の被害が日々のニュースでも話題になっています。国家背景の攻撃者が参加しているとも言われる中で攻撃が高度化し、その被害はますます大きくなり得る状況です。これに伴い、サイバー攻撃による企業の業績への影響の高まりも想定されます。
第14回は、会社法などの企業法関係の専門家である東京大学名誉教授の神田秀樹氏を迎え、PwCコンサルティング合同会社 パートナーの丸山満彦と、経営リスクとして重要性が増すサイバーリスクとステークホルダーへの情報開示について、ディスカッションを行いました。
(左から)神田秀樹氏、丸山満彦
参加者
東京大学 名誉教授
神田 秀樹氏
PwCコンサルティング合同会社 パートナー
丸山 満彦
※所属、役職およびインタビュー内容は掲載当時のものです。
サイバーリスクの現況と課題
丸山:
最近では毎日のようにサイバー攻撃による被害が報道されるようになってきました。金融機関を含む重要インフラを対象としたサイバー攻撃は国内外で相次いでおり、企業業績に影響する被害も今後懸念されます。また、大量の個人データの漏えいや、ランサムウェアによる被害、高度な技術情報を持っていると思われる組織への侵入事例も報道されています。サイバー攻撃は短期的な影響もありますが、長期的な企業業績、将来の業績への影響も無視できない状況ですね。
神田氏:
私は、会社法や金融法を研究しており、とりわけこれまではコーポレートガバナンスに関わる制度の整備をする政府レベルでの議論、有識者会議などに参加してきました。コーポレートガバナンスの観点からサイバーリスクを考えてみたいと思います。
サイバーリスクを定量的に捉えるのは難しい問題ですが、ダボス会議に合わせて世界経済フォーラムがリスクランキングを毎年1月に公表しており、一つの参考になるのではないかと思います。短期と中長期のリスクについてのランキングがあるのですが、短期リスクランキングでは2023年1、2024年2、2025年3のいずれにおいても、サイバーリスクは10位以内に入っています。
それから直近で報道されているところですと米国の全米取締役協会が2024年に取ったアンケートで、取締役会としてリスクを感じているものの3つのうちの1つがサイバーセキュリティでした4。これには私自身も驚きましたが、諸外国ではサイバーリスクというのは思ったより重視されているという現状があると思いました。
図表1:サイバーリスクの重要度の高まり
東京大学 名誉教授 神田 秀樹氏
サイバーリスクに対する日本の対応
丸山:
サイバーセキュリティ対応の重要性は日本政府も早くから認識しており、私も立ち上げに関与した2005年の内閣官房情報セキュリティセンターが前身で、現在は内閣官房国家サイバー統括室として運営されています5。情報セキュリティに関連する法律としては、個人情報保護法の影響が大きかったと思います。また、最近では安全保障関係で、サイバー対処能力強化法が制定されていますね。
神田氏:
私は法律を専門にしてきたこともあり、法制度や法規制の内容や立法趣旨にどうしても関心がいきます。一般に法の規制という場合、「直接規制」と「間接規制」と分けるのがわかりやすいです。
直接規制というのは「あれをやりなさい」「あれをやってはいけません」ということです。一方、間接規制というのは「やる体制を作りなさい」ということで、一般にはガバナンスとリスク管理、つまり判断をするための仕組みを作りなさいということです。
セキュリティについて見ると、個人情報保護法のような直接規制もありますが、会社法の内部統制システムのような間接規制もあるので、両方が相まって効果を出すということだと思います。
ただ、サイバーセキュリティそのものを規制する法律はなく、個人情報保護法を含むさまざまな法律の中でセキュリティに関する言及がされているというのが実態です。そうした中で内閣官房が「サイバーセキュリティ関係法令Q&Aハンドブック」を発行していますが、現在存在している法律についてほぼ網羅されています。
丸山:
私はハンドブック制作時に委員として関わっていましたが、多くの法律から関連する条文を集めるのに苦労しました。
神田氏:
日本は政府が多くのガイドラインを定めており、内閣官房をはじめとして複数のガイドラインが公表されています。企業のガバナンスという観点では、経済産業省が「サイバーセキュリティ経営ガイドライン」を公表しています。「重要10項目」とも言われているのですが、サイバーセキュリティに対する経営者としての向き合い方や自社に構築すべきセキュリティの仕組みなどについて、丁寧に解説したガイドラインになっています。このようなガイドラインの公表もサイバーリスクに関する国の取り組みといえます。
丸山:
「サイバーセキュリティ経営ガイドライン」は、会社法の内部統制システム体制や、コーポレートガバナンスとも整合が取れるように配慮して作成されています。サイバーリスクも、組織を取り巻くエンタープライズリスクの一つとして経営、ガバナンスとつなげることが重要だと感じています。
PwCコンサルティング合同会社 パートナー 丸山 満彦
ステークホルダーのリスクコミュニケーションの重要性
丸山:
サイバーリスクに関する企業のステークホルダーとしては、個人情報漏えいでは顧客、システム停止では取引先が直接的に関わるステークホルダーです。そして、規制がある業種では監督当局とのコミュニケーションも重要です。また、サイバーリスクが発現すると企業全体への影響が大きくなり、企業価値や株価への影響も無視できないことから、投資家や株主とのコミュニケーションも重要と捉えられるようになってきましたね。
神田氏:
投資家や株主とのコミュニケーションという意味では、日本にはサイバーセキュリティに関する情報開示に特化した法律・求められる制度というのはありません。インシデント次第では企業の価値にも影響を及ぼしますので、重要性の基準を満たした場合、投資家への情報開示が求められると思いますが、サイバーセキュリティに対する具体的な言及はありません。
また、東京証券取引所が作成している行動規範であるコーポレートガバナンス・コード6にも「サイバーセキュリティ」という言葉は掲載されていません。東京証券取引所が運営している適時開示制度も同様です。
金融庁作成の「投資家と企業の対話ガイドライン」にはわずかに言及があります。これはコーポレートガバナンス・コードとセットなのですが、2021年改訂版では、サイバーセキュリティ対応の必要性が投資家と企業が対話する時の項目になる旨の記載が含まれています。
図表2:情報開示例
出所:神田 秀樹氏投影資料
米国の情報開示規制について
丸山:
サイバーリスクが企業価値へ与える影響が大きくなっている一方で、投資家などへのサイバーリスクに関する開示の規制は特に設けられていないということですね。投資家への情報開示の規制が進んでいる米国の状況はどうでしょうか。
神田氏:
米国では2023年の12月から施行されている開示規則の改訂で、Form10-Kと呼ばれる年次報告書、日本でいうところの有価証券報告書において、サイバーセキュリティに関するリスク管理とガバナンス体制などの情報開示を求められるようになりました。
また、サイバーセキュリティインシデントがあった場合は、会社の事業に重要な影響を与えるかどうかということを遅滞なく判断し、重要なものだと判断した場合には4日以内にForm8-K、日本でいうところの臨時報告書において、情報開示が必要というルールになっています。
図表3:米国の情報開示規制
出所:神田 秀樹氏投影資料
サイバーリスクについての開示を法律が求めるようになったのは2024年ですが、それから約1年が経過した今、これに従って臨時報告書で情報開示した会社は約30~40社あると推測されます。
会社が重要性を判断してから4日以内に開示すべきとされているのですが、実際にはインシデントを認識してから報告まで平均で約5日という数字が出ています。
平時のガバナンスと危機時の対応
丸山:
平時におけるサイバーセキュリティに対するガバナンスの状況、リスク管理の状況についての報告、インシデント時における速やかな影響の報告などは、投資家のみならず、社会にとっても大切なことです。そして、危機時のリスク対応もより重要となってきますね。
神田氏:
思い出したことが2つあります。1つは定期健康検診です。
定期健康検診では、定期的に自身の健康状態が診断されるため、過去の振り返りや今後の改善策を通して生活を見直す機会になります。サイバーリスクについても、定期的に診断を実施することが有益だと思いました。
もう1つは日本のコーポレートガバナンス・コードです。日本のコーポレートガバナンス・コードはOECDが作成したコーポレートガバナンス原則7をモデルに作成されたのですが、コーポレートガバナンス原則は1999年に作成されたのち、複数回改訂され、直近では2023年9月に改訂されました。
この改訂では全体が再整理されたとともに、「Sustainability and resilience(サステナビリティ・アンド・レジリエンス)」という新チャプターが追加されました。
レジリエンスは復元力や回復力と訳されることが多いです。レジリエンスの意味合いを日本語で表現するのは難しいのですが、私は「ダメージを受けてもそこから迅速に復元する力」と理解しています。
このように、サイバーリスクに関しても平時のガバナンスと危機時のレジリエンスの両方が重要であると思います。そして、その状況を投資家などに正しく伝えることも企業には求められます。
今後の方向性
丸山:
地政学的なリスクの高まりと相まって、国家背景の攻撃者によるサイバーインシデントの発生や、大きな被害につながるサイバー攻撃が増えるのではないかと言われています。また、社会へのAIの浸透もサイバー犯罪の高度化に寄与するのかもしれません。サイバーリスクの組織への影響の高まりは同時に、ステークホルダーとのリスクコミュニケーションの重要性につながります。
神田氏:
サイバーリスクについても、平時のガバナンスと危機時のレジリエンス、そしてその状況を投資家などに正しく伝えることが重要です。米国では先行して法制度化されましたが、このような先行事例も踏まえて、日本企業も備えておくべきだと思います。
丸山:
本日は貴重なお話ありがとうございました。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
