IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
サイバーセキュリティ情報開示支援サービス
昨今、国内上場企業において海外投資家からの投資割合が高まり、2023年2月には東証プライムにおいては株式売買の約7割が海外投資家を占める1など、国内上場企業は海外投資家および格付け機関の評価を意識せざるを得ない状況となっています。
海外投資家やESG格付け機関は、企業のサイバーセキュリティおよびプライバシーに関する開示情報を注視する傾向にある一方で、PwC調査によると現行の情報開示では不十分であると評価する海外投資家も多く、上場企業にとっては今まで以上に適切な情報開示を行うことが求められていると言えます。
PwCは、情報開示における独自のデータベースを自然言語処理技術により分析し、国内政府機関や関連団体、PwCグローバルとの連携から得た知見を基に、国内企業が適切な情報開示ができるよう「サイバーセキュリティおよびプライバシーに関する情報開示」を総合的に支援します。
投資家の関心が高まる「企業のサイバーセキュリティおよびプライバシー確保状況」
海外投資家やESG格付け機関は近年、評価基準の1つとして非財務情報、とりわけサイバーセキュリティやプライバシーに関する企業の開示情報を重要視しています2。事実、主要なESG格付け機関の評価項目をみると、企業のサイバーセキュリティや、データセキュリティ、プライバシーの観点が含まれており、特にIT業界・金融業界においてはリスクスコアが重く設定される傾向にあります。PwCの「グローバル投資家意識調査20223」によると、グローバル投資家の半数以上が、企業が特に優先すべき成果(以下、「アウトカム」)として「データセキュリティおよびプライバシー確保」を挙げ、全体の評価項目において3番目の多さとなっています。また本調査によると、投資家は企業報告4の有効性に著しいギャップがあると考えており、とりわけ「データセキュリティおよびプライバシー確保」についての企業報告が効果的ではなかったとしています(図表1)。さらに、「企業が今後5年間でさらされる可能性が高い/きわめて高い脅威は何か」という質問に対し、「サイバーリスク」を選んだ投資家は2番目に多く、4割を超えました(図表2)。これらのことから、企業のサイバーセキュリティおよびプライバシー確保に向けた姿勢は、グローバルに活動する投資家にとって長期にわたって評価対象になり続けると予測されます。
出典:「PwCグローバル投資家意識調査2022」(2023年1月)
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/investor-survey.html
注:「優先されるべきアウトカムである」は、「企業が特に優先すべきアウトカムは何か」を訪ねたときに、その項目を優先すべきアウトカムとして選択した回答者の割合を示します。回答者は最大5項目を選択可。本レポートでは選択数上位5項目のみを記載しています。「企業報告は効果的である」は、
「投資先またはカバーしている企業が現在開示している情報が、特に優先すべきアウトカムの実現を評価するために一般的にどの程度効果的であるか」
という質問に対して、「効果的」または「非常に効果的」と回答した回答者の割合を示します。
出典:「PwCグローバル投資家意識調査2022」(2023年1月)
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/investor-survey.html
公的機関のガイドラインに沿った情報開示が求められる
投資機関や格付け機関だけでなく、世界的な公的機関や業界団体においても非財務情報への関心が高まっており、サイバーセキュリティに関する情報開示を促すガイドラインが次々と発行されています。
国内においてもその動きは活発になっており、2017年に経済産業省・IPAが「サイバーセキュリティ経営ガイドラインV2.0」を公表したことを皮切りに、2019年には総務省が「サイバーセキュリティ対策情報開示の手引き」、経済産業省が「グループ・ガバナンス・システムに関する実務指針」、経団連が「サイバーリスクハンドブック」を公表しました。これらを受け、国内大手企業が先導する形で、サイバーセキュリティ経営を宣言する企業が増加しています。また、2021年には金融庁発行の「投資家と企業の対話ガイドライン」が改訂され、サイバーセキュリティ対応について投資家との会話の必要性が初めて記載されました。
海外においては、2011年に米国証券取引委員会(SEC)がサイバーセキュリティリスクなどの開示義務に対する民間企業の財務部門の見解を示すガイダンス「CF Disclosure Guidance: Topic No. 2 Cybersecurity」を発行しています。SECは、2018年には「Commission Statement and Guidance on Public Company Cybersecurity Disclosures」を発行し、サイバーセキュリティ課題に対する取締役会の経営陣との取り組みの開示を規定しました。英国財務報告評議会(FRC)は2022年に「Guidance on the Strategic Report」を発行し、「サイバーリスクがどのように事業に影響を及ぼし得るか」を説明するよう記載しています。また同年、米国サステナビリティ会計基準審議会(SASB)5は「SASB Standards」を発行し、上場企業が開示すべきESG情報として「顧客のプライバシー」「データセキュリティ」を記載しています。
このように、さまざまな機関から新しいガイドラインや指針が示されており、企業は日本国内だけでなく、事業展開する国ごとに発行される法規制・ガイドラインも継続的に調査し、必要に応じてそれらに沿ったサイバーセキュリティおよびプライバシー開示内容を検討していく必要があります。
図表3:国内におけるサイバー情報開示に関する主なガイドライン
時期 |
発行主体 |
名称 |
説明 |
2017年 |
経済産業省、IPA |
サイバーセキュリティ経営ガイドラインVer2.0 |
平時からコミュニケーションや企業姿勢の一般公開の重要性を強調 |
| 2019年 | 総務省 |
サイバーセキュリティ対策情報開示の手引き |
株主向けの情報開示に特化したガイドライン |
経済産業省 |
グループ・ガバナンス・システムに関する実務指針 |
「サイバーセキュリティ対策の在り方」を追加 |
|
日本経済団体連合会 |
サイバーリスクハンドブック |
取締役が企業のサイバーリスク認識を高めることを強調 |
|
2021年 |
金融庁 |
投資家と企業の対話ガイドライン |
投資家との「サイバーセキュリティ対応の必要性」を追加 |
2023年 |
経済産業省、IPA |
サイバーセキュリティ経営ガイドラインVer3.0 |
平時から社外の利害関係者(株主、顧客等)とのコミュニケーションの必要性を強調 |
図表4:海外におけるサイバー情報開示に関する主なガイドライン
時期 |
発行主体 |
名称 |
説明 |
2011年 |
米国証券取引委員会(SEC) |
CF Disclosure Guidance: Topic No. 2Cybersecurity6 | サイバーセキュリティリスクおよびインシデントに関する開示義務への企業の財務部門の見解を示したガイダンス |
2018年 |
米国証券取引委員会(SEC) |
Commission Statement and Guidance on Public Company Cybersecurity Disclosures7 |
サイバーセキュリティの開示に関するガイドラインで、企業のサイバーセキュリティ課題に対する取締役会の経営陣との取組みの開示を規定 |
| 2022年 | 英国財務報告評議会(FRC) |
Guidance on the Strategic Report8 |
リスク開示は、サイバーリスクがどのように事業に影響を及ぼしうるかを説明する必要があると記載 |
国際財務報告基準財団(IFRS) |
SASB Standards9 |
上場企業がESG情報開示を行う際に参照する国際基準で、複数の業界のSASB基準に「顧客のプライバシー」「データセキュリティ」を記載 |
|
米国証券取引委員会(SEC)※提案中 |
SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies10 |
上場企業によるサイバーセキュリティリスク管理、戦略、ガバナンスおよびインシデント報告に関する開示を強化および標準化するための規則改正を提案 |
適切な情報開示に悩む企業を支援
これらの背景から、グローバルにビジネスを展開する大手企業は、海外機関投資家や格付け機関などのステークホルダーを対象に情報開示を進める傾向にあります。しかし、どこまで情報開示をすればステークホルダーにとって有益であるか判断しがたく、さらにサステナビリティ部門やIR部門、広報部門など社内での調整に難航する企業も少なくありません。
そこでPwCコンサルティング合同会社は、サイバーセキュリティおよびプライバシーに関する情報開示に取り組む国内企業のサイバーセキュリティ責任者および広報、IR、サステナビリティ部門の責任者を支援するため、サイバーセキュリティ情報開示支援サービスを新たに構築しました。
PwCのサイバーセキュリティ情報開示支援
PwCは、情報開示における独自のデータベースを自然言語処理技術により分析し、国内政府機関や関連団体、PwCグローバルとの連携から得られる知見を基に、海外投資家および格付け機関を対象とした国内企業における「サイバーセキュリティおよびプライバシーに関する情報開示」を総合的に支援します※(図表5)。
※本サービスは、非財務情報の開示、平時における情報開示を対象としています。
- 主なサービス利用者
- サイバーセキュリティ責任者(CISO)
- セキュリティ部門
- サステナビリティ部門
- IR部門
- 広報部門 など
- 主なサービス内容
- 市場調査
法規制等の動向調査、国内外企業における開示状況の動向調査 - 情報開示文書レビュー
「PwC独自の評価基準11」によるアセスメントにより、開示場所・開示情報における過不足の明確化、表現方法などへのアドバイスを提供 - 情報開示アクションプラン策定
「市場調査」「情報開示文書レビュー」に加え、現状とのギャップ分析を行い、今後のアクションプランを提示 - ステークホルダー向けレポーティング支援(オプション)
ESG格付け機関、投資機関などへのレポーティング支援
- 市場調査
1 日本取引所グループ「投資部門別売買状況-2023年2月第4週(2月20日~2月24日)」
https://www.jpx.co.jp/markets/statistics-equities/investor-type/cg27su0000001xqf-att/stock_vol_1_230204.pdf
2 PwCコンサルティング「なぜESG格付けにおいてサイバーセキュリティの重要性が高まっているのか」(2022年4月8日)https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/esg-articles01.html
3 PwC「グローバル投資家意識調査2022」(2023年1月),
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/investor-survey.html
4 ここでいう「企業報告」とは、財務報告やコーポレートガバナンスに関する報告を指します。
5 国際サステナビリティ基準審議会(ISSB)へ移行予定
6 U.S. Securities and Exchange Commission, “CF Disclosure Guidance: Topic No. 2 Cybersecurity”,(2011/10/13) https://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm
7 U.S. Securities and Exchange Commission, “Commission Statement and Guidance on Public Company Cybersecurity Disclosures” (2018/2/26),
https://www.sec.gov/rules/interp/2018/33-10459.pdf
8 Financial Reporting Council, “Guidance on the Strategic Report” (2022/6),
https://www.frc.org.uk/getattachment/343656e8-d9f5-4dc3-aa8e-97507bb4f2ee/Strategic-Report-Guidance_2022.pdf
9 IFRS Foundation,”SASB Standards”,(2022/8),
https://www.sasb.org/standards/
国際サステナビリティ基準審議会(ISSB)へ移行予定
10 U.S. Securities and Exchange Commision, “SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies” (2022/3/9),
https://www.sec.gov/news/press-release/2022-39
11 ここでいう「PwC独自の評価基準」とは、PwC独自に収集するデータベースを自然言語処理技術により分析し、国内政府機関や関連団体、PwCグローバルとの連携から得られる知見をもとに策定したもの
インサイト/ニュース
20 results
Loading...
ISMAP管理策評価の自動化に向けた洞察―NIST IR 8011 v1r1ドラフトを踏まえて
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
Loading...
