経営層と議論するためのサイバーリスクの数値化モデル

上杉 謙二

日本サイバーセキュリティ・イノベーション委員会(JCIC) 主任研究員(PwCコンサルティング合同会社から出向中)

サイバーセキュリティ専門の民間シンクタンクに出向中。現在の主な研究テーマは、海外のサイバーセキュリティ法規制、サイバーリスクの定量化、官民連携の動向、オリンピックにおけるセキュリティ体制等。PwCでは、官公庁や民間企業に対するサイバーセキュリティ戦略立案、サイバー演習、インシデント対応支援、M&A戦略策定に従事。また、サイバーセキュリティの国際会議やイベントの企画にも携わる。

デジタル化が進むほどサイバーリスクは高まり、セキュリティ事故の発生による経営インパクトも増大する。専門用語が多く、動向の変化も激しいサイバーセキュリティは、取締役や経営者には扱いづらい課題でリスクが見えにくい。そこで、経営層の共通言語である財務諸表を用いてリスクを金額に換算することにより、ITに詳しくなくてもリスクを把握できるようになる。

コーポレートガバナンスの一環として取り組むべき経営課題

経済産業省の「デジタルトランスフォーメーション(DX)レポート」※1(2018年9月発表)によると、デジタル技術を活用したビジネスモデルの創出をスピーディに進めることで、2030年には実質GDPを130兆円超も押し上げる効果があるという。一方、デジタル化の加速によりサイバーリスクは高まり、セキュリティ事故が発生した場合の経営への影響も増大する。国内大手航空会社や仮想通貨取引所がサイバー攻撃に遭い、多額の被害を受けた事件は記憶に新しく、組織内部からの機密情報や個人情報の流出も後を絶たない。一回のサイバー攻撃により大規模な金銭的損害が発生し、経営者責任が問われる事例が増えていることから、サイバーセキュリティはIT部門だけの問題ではなく企業経営の持続的成長を揺るがす経営リスクだと言える。

PwCが実施した「企業取締役調査(2017年)」※2では、取締役会が時間を費やすべき重点領域にサイバーセキュリティを挙げた回答者が66%に上った。

戦略立案や後継者の計画よりも上位で、特に米国企業ではコーポレートガバナンスの一環として、取締役が経営者へサイバーセキュリティ管理の強化を求める傾向が強いという。同じくPwCの「投資家意識調査 2018」※3によると、投資家の企業に対する懸念事項のトップはサイバー脅威である。サイバー攻撃で企業価値が損なわれる事例が増えているため、最低でも投資額は回収したいと考える投資家がサイバー脅威を最も懸念するのは当然だろう。

日本企業においても不祥事によるダメージを回避するため、株主などからコーポレートガバナンスの強化が求められており、その一環でサイバーリスクについても議論すべき段階にある。

セキュリティ事故による財務インパクト

セキュリティ事故の適時開示を行った18社の株価動向を調査したところ(下図)、50日後に株価が平均10%減少していることが分かった。また、東証一部以外の企業(東証二部、ジャスダック、マザーズ、札証)の平均下落率は15%であることから、セキュリティ事故は中小企業の株価へ大きく影響すると言える。中小企業のビジネスは特定事業に依存しがちであり、その事業へのサイバー攻撃の影響は大企業に比べて大きいからだと考えられる。

さらに適時開示を行った日本の16社の売上高と純利益を調べたところ、売上高は平均4%上昇したが純利益は平均21%減少していることが分かった。純利益の大幅な減少は、事故対応調査や再発防止のための特別損失に起因する。

サイバー攻撃が企業の株価の低下や純利益の減少を招き、経営者の責任が問われる事例もあり、サイバーセキュリティは経営リスクとして経営者が積極的に取り組むべき課題になっている。

セキュリティ事故の適時開示後の株価影響

サイバーリスクの数値化モデル

企業内でのサイバーリスクの議論は技術的な話に終始しがちだが、企業経営者の立場では自社の経営に対する金銭的影響や経営責任が発生する可能性に関心を持つはずだ。経営視点で議論を行うには、経営者の共通言語である財務諸表によりリスクを金額に換算して見える化し、ITに詳しくなくてもリスクを把握できるようにする必要がある。

そこで、「サイバーリスクの数値化モデル」を策定した(下図)。これをもとに各企業でリスク値を算出し、取締役会や経営会議への報告などに活用することが可能である。このモデルで年商1,000億円企業のリスクを評価すると、直接被害が約141億円、間接被害が約312億円となる。サイバーリスクは歴史上新しい分野で過去データが比較的少なく、精緻なリスクモデルに比べると被害額は大きめに算出されるが、自社が被り得る最大損害額(PML:Probable Maximum Loss)を即座に把握できることは有意義だと考えている。

サイバー攻撃によるリスク自体は発生確率の算出が難しいが、情報処理推進機構(IPA)の調査※4によると、日本では一年間に26%の企業に被害が発生しているという。年間に、約4分の1の確率で被害に遭うと考えると分かりやすいだろう。サイバーリスクのコントロールには、数値化によるイメージが重要だ。サイバーリスクの数値化モデルなどを用いることで、投資額の妥当性判断がしやすくなるだけでなく、経営層がサイバーリスクを自分事として捉えられるようになるだろう。