サイバーセキュリティに関する財務報告リスクの高まりとその対策

サイバー攻撃は企業の業種、規模、所在地を問わず行われるものであり、一般的にどの企業においてもサイバーセキュリティリスクは存在します。昨今、Webサイトや新聞などで企業に対するサイバー攻撃のニュースを目にする機会は増加しており、中には、企業の経済活動が大きな損害を被るケースもあります。またサイバー攻撃により、財務報告に関連するシステムやデータが利用できず、本来の提出期限までに有価証券報告書を提出できなかったり、開示すべき重要な不備となったりした他、有価証券報告書にサイバー攻撃を原因とする特別損失を計上した事例もあります。

図表1は直近5年間のサイバー攻撃／不正アクセスに関連した適時開示の状況、有価証券報告書における損失計上の状況、監査上の主要な検討事項の状況の推移を集計したものです。各項目に該当する企業数は増加の傾向にあり、サイバーセキュリティに関する財務報告リスクの高まりが見てとれます。

図表1：サイバー攻撃／不正アクセス関連の適時開示および有価証券報告書の件数推移

内閣サイバーセキュリティセンターと経済産業省は、サイバーセキュリティに関する注意喚起を発令しています。経産省の「サイバーセキュリティ経営ガイドライン」では、サイバーセキュリティリスクをビジネス上のリスクとして識別するだけでなく、サイバーセキュリティ対策を実施すべきと記載されています。こうした動きからも分かるように、国もサイバーセキュリティ対策を講じることは重要だと呼びかけています。

加えて、サイバーセキュリティに関する財務報告リスクが高まっている状況を受けて、金融庁は財務報告に係る内部統制の評価と監査の基準を、日本公認会計士協会は監査基準報告書と研究文書を公表。財務報告に関するサイバーセキュリティリスクの識別と評価の検討について触れています。

こうした状況を踏まえ、PwC Japan有限責任監査法人は、実際に企業が財務報告リスクを識別しているのか、また識別したリスクに対してどのように取り組んでいるのかを把握するために調査を実施しました。