サイバーセキュリティ情報開示支援サービス

昨今、国内上場企業において海外投資家からの投資割合が高まり、2023年2月には東証プライムにおいては株式売買の約7割が海外投資家を占める1など、国内上場企業は海外投資家および格付け機関の評価を意識せざるを得ない状況となっています。

海外投資家やESG格付け機関は、企業のサイバーセキュリティおよびプライバシーに関する開示情報を注視する傾向にある一方で、PwC調査によると現行の情報開示では不十分であると評価する海外投資家も多く、上場企業にとっては今まで以上に適切な情報開示を行うことが求められていると言えます。

PwCは、情報開示における独自のデータベースを自然言語処理技術により分析し、国内政府機関や関連団体、PwCグローバルとの連携から得た知見を基に、国内企業が適切な情報開示ができるよう「サイバーセキュリティおよびプライバシーに関する情報開示」を総合的に支援します。

投資家の関心が高まる「企業のサイバーセキュリティおよびプライバシー確保状況」

海外投資家やESG格付け機関は近年、評価基準の1つとして非財務情報、とりわけサイバーセキュリティやプライバシーに関する企業の開示情報を重要視しています2。事実、主要なESG格付け機関の評価項目をみると、企業のサイバーセキュリティや、データセキュリティ、プライバシーの観点が含まれており、特にIT業界・金融業界においてはリスクスコアが重く設定される傾向にあります。PwCの「グローバル投資家意識調査20223」によると、グローバル投資家の半数以上が、企業が特に優先すべき成果(以下、「アウトカム」)として「データセキュリティおよびプライバシー確保」を挙げ、全体の評価項目において3番目の多さとなっています。また本調査によると、投資家は企業報告4の有効性に著しいギャップがあると考えており、とりわけ「データセキュリティおよびプライバシー確保」についての企業報告が効果的ではなかったとしています(図表1)。さらに、「企業が今後5年間でさらされる可能性が高い/きわめて高い脅威は何か」という質問に対し、「サイバーリスク」を選んだ投資家は2番目に多く、4割を超えました(図表2)。これらのことから、企業のサイバーセキュリティおよびプライバシー確保に向けた姿勢は、グローバルに活動する投資家にとって長期にわたって評価対象になり続けると予測されます。

図表1:「企業が特に優先すべきアウトカム」であると 投資家が考えている項目

出典:「PwCグローバル投資家意識調査2022」(2023年1月)
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/investor-survey.html

注:「優先されるべきアウトカムである」は、「企業が特に優先すべきアウトカムは何か」を訪ねたときに、その項目を優先すべきアウトカムとして選択した回答者の割合を示します。回答者は最大5項目を選択可。本レポートでは選択数上位5項目のみを記載しています。「企業報告は効果的である」は、
「投資先またはカバーしている企業が現在開示している情報が、特に優先すべきアウトカムの実現を評価するために一般的にどの程度効果的であるか」
という質問に対して、「効果的」または「非常に効果的」と回答した回答者の割合を示します。

図表2:「企業が今後5年間でさらされる可能性が高い/きわめて高い脅威は何か」 に対するグローバル投資家の回答の割合

出典:「PwCグローバル投資家意識調査2022」(2023年1月)
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/investor-survey.html

公的機関のガイドラインに沿った情報開示が求められる

投資機関や格付け機関だけでなく、世界的な公的機関や業界団体においても非財務情報への関心が高まっており、サイバーセキュリティに関する情報開示を促すガイドラインが次々と発行されています。

国内においてもその動きは活発になっており、2017年に経済産業省・IPAが「サイバーセキュリティ経営ガイドラインV2.0」を公表したことを皮切りに、2019年には総務省が「サイバーセキュリティ対策情報開示の手引き」、経済産業省が「グループ・ガバナンス・システムに関する実務指針」、経団連が「サイバーリスクハンドブック」を公表しました。これらを受け、国内大手企業が先導する形で、サイバーセキュリティ経営を宣言する企業が増加しています。また、2021年には金融庁発行の「投資家と企業の対話ガイドライン」が改訂され、サイバーセキュリティ対応について投資家との会話の必要性が初めて記載されました。

海外においては、2011年に米国証券取引委員会(SEC)がサイバーセキュリティリスクなどの開示義務に対する民間企業の財務部門の見解を示すガイダンス「CF Disclosure Guidance: Topic No. 2 Cybersecurity」を発行しています。SECは、2018年には「Commission Statement and Guidance on Public Company Cybersecurity Disclosures」を発行し、サイバーセキュリティ課題に対する取締役会の経営陣との取り組みの開示を規定しました。英国財務報告評議会(FRC)は2022年に「Guidance on the Strategic Report」を発行し、「サイバーリスクがどのように事業に影響を及ぼし得るか」を説明するよう記載しています。また同年、米国サステナビリティ会計基準審議会(SASB)5は「SASB Standards」を発行し、上場企業が開示すべきESG情報として「顧客のプライバシー」「データセキュリティ」を記載しています。

このように、さまざまな機関から新しいガイドラインや指針が示されており、企業は日本国内だけでなく、事業展開する国ごとに発行される法規制・ガイドラインも継続的に調査し、必要に応じてそれらに沿ったサイバーセキュリティおよびプライバシー開示内容を検討していく必要があります。

図表3:国内におけるサイバー情報開示に関する主なガイドライン

時期

発行主体

名称

説明

2017年

経済産業省、IPA

サイバーセキュリティ経営ガイドラインVer2.0

平時からコミュニケーションや企業姿勢の一般公開の重要性を強調

2019年

総務省

サイバーセキュリティ対策情報開示の手引き

株主向けの情報開示に特化したガイドライン

経済産業省

グループ・ガバナンス・システムに関する実務指針

「サイバーセキュリティ対策の在り方」を追加

日本経済団体連合会

サイバーリスクハンドブック

取締役が企業のサイバーリスク認識を高めることを強調

2021年

金融庁

投資家と企業の対話ガイドライン

投資家との「サイバーセキュリティ対応の必要性」を追加

2023年

経済産業省、IPA

サイバーセキュリティ経営ガイドラインVer3.0

平時から社外の利害関係者(株主、顧客等)とのコミュニケーションの必要性を強調

図表4:海外におけるサイバー情報開示に関する主なガイドライン

時期

発行主体

名称

説明

2011年

米国証券取引委員会(SEC)

CF Disclosure Guidance: Topic No. 2Cybersecurity6

サイバーセキュリティリスクおよびインシデントに関する開示義務への企業の財務部門の見解を示したガイダンス

2018年

米国証券取引委員会(SEC)

Commission Statement and Guidance on Public Company Cybersecurity Disclosures7

サイバーセキュリティの開示に関するガイドラインで、企業のサイバーセキュリティ課題に対する取締役会の経営陣との取組みの開示を規定

2022年

英国財務報告評議会(FRC)

Guidance on the Strategic Report8

リスク開示は、サイバーリスクがどのように事業に影響を及ぼしうるかを説明する必要があると記載

国際財務報告基準財団(IFRS)

SASB Standards9

上場企業がESG情報開示を行う際に参照する国際基準で、複数の業界のSASB基準に「顧客のプライバシー」「データセキュリティ」を記載

米国証券取引委員会(SEC)※提案中

SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies10

上場企業によるサイバーセキュリティリスク管理、戦略、ガバナンスおよびインシデント報告に関する開示を強化および標準化するための規則改正を提案

適切な情報開示に悩む企業を支援

これらの背景から、グローバルにビジネスを展開する大手企業は、海外機関投資家や格付け機関などのステークホルダーを対象に情報開示を進める傾向にあります。しかし、どこまで情報開示をすればステークホルダーにとって有益であるか判断しがたく、さらにサステナビリティ部門やIR部門、広報部門など社内での調整に難航する企業も少なくありません。

そこでPwCコンサルティング合同会社は、サイバーセキュリティおよびプライバシーに関する情報開示に取り組む国内企業のサイバーセキュリティ責任者および広報、IR、サステナビリティ部門の責任者を支援するため、サイバーセキュリティ情報開示支援サービスを新たに構築しました。

PwCのサイバーセキュリティ情報開示支援

PwCは、情報開示における独自のデータベースを自然言語処理技術により分析し、国内政府機関や関連団体、PwCグローバルとの連携から得られる知見を基に、海外投資家および格付け機関を対象とした国内企業における「サイバーセキュリティおよびプライバシーに関する情報開示」を総合的に支援します※(図表5)。

※本サービスは、非財務情報の開示、平時における情報開示を対象としています。

  • 主なサービス利用者
    • サイバーセキュリティ責任者(CISO)
    • セキュリティ部門
    • サステナビリティ部門
    • IR部門
    • 広報部門 など
  • 主なサービス内容
    • 市場調査
      法規制等の動向調査、国内外企業における開示状況の動向調査
    • 情報開示文書レビュー
      「PwC独自の評価基準11」によるアセスメントにより、開示場所・開示情報における過不足の明確化、表現方法などへのアドバイスを提供
    • 情報開示アクションプラン策定
      「市場調査」「情報開示文書レビュー」に加え、現状とのギャップ分析を行い、今後のアクションプランを提示
    • ステークホルダー向けレポーティング支援(オプション)
      ESG格付け機関、投資機関などへのレポーティング支援
図表5: サイバーセキュリティ情報開示支援サービス

1 日本取引所グループ「投資部門別売買状況-2023年2月第4週(2月20日~2月24日)」
https://www.jpx.co.jp/markets/statistics-equities/investor-type/cg27su0000001xqf-att/stock_vol_1_230204.pdf

2 PwCコンサルティング「なぜESG格付けにおいてサイバーセキュリティの重要性が高まっているのか」(2022年4月8日)https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/esg-articles01.html

3 PwC「グローバル投資家意識調査2022」(2023年1月), 
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/investor-survey.html

4 ここでいう「企業報告」とは、財務報告やコーポレートガバナンスに関する報告を指します。

5 国際サステナビリティ基準審議会(ISSB)へ移行予定

6 U.S. Securities and Exchange Commission, “CF Disclosure Guidance: Topic No. 2 Cybersecurity”,(2011/10/13)  https://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm

7 U.S. Securities and Exchange Commission, “Commission Statement and Guidance on Public Company Cybersecurity Disclosures” (2018/2/26), 
https://www.sec.gov/rules/interp/2018/33-10459.pdf

8 Financial Reporting Council, “Guidance on the Strategic Report” (2022/6), 
https://www.frc.org.uk/getattachment/343656e8-d9f5-4dc3-aa8e-97507bb4f2ee/Strategic-Report-Guidance_2022.pdf

9 IFRS Foundation,”SASB Standards”,(2022/8),
https://www.sasb.org/standards/
国際サステナビリティ基準審議会(ISSB)へ移行予定

10 U.S. Securities and Exchange Commision, “SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies” (2022/3/9),
https://www.sec.gov/news/press-release/2022-39

11 ここでいう「PwC独自の評価基準」とは、PwC独自に収集するデータベースを自然言語処理技術により分析し、国内政府機関や関連団体、PwCグローバルとの連携から得られる知見をもとに策定したもの

インサイト/ニュース

20 results
Loading...
Loading...

サイバーセキュリティニュースレター

主要メンバー

丸山 満彦

パートナー, PwCコンサルティング合同会社

Email

上杉 謙二

ディレクター, PwCコンサルティング合同会社

Email

We unite expertise and tech so you can outthink, outpace and outperform
See how