サイバーリスク開示の方法とは?日立製作所やNECの事例をもとに紹介

  • calendar2023.01.20
投稿者:編集部
ホーム » プライバシーテック » サイバーリスク開示の方法とは?日立製作所やNECの事例をもとに紹介

はじめに

企業がサイバーセキュリティのリスクを開示する動きが加速している。日本経済新聞によれば、東証プライム上場企業の開示比率は3年前に比べて35ポイント増の93%と急増したという。

しかしなぜここまで急に増えたのだろうか。

この記事では、サイバーリスクの開示率が増加した理由やサイバーセキュリティ対策情報開示の取り組み概要・目的、開示時の観点、開示事例について解説していく。

サイバーリスクの開示率は93%

サイバーセキュリティリスクを有価証券報告書で開示する動きが広がってきているそうだ。日本経済新聞によれば、東証プライム上場企業のサイバーリスク開示率は93%と、3年前と比較して35ポイントも増加している。

サイバーリスクの開示率が急増した背景にあるのが、サイバーリスクがもたらす企業価値への影響だ。

日本サイバーセキュリティイノベーション委員会が情報流出などの被害にあった上場企業の株価を調査した結果、サイバー被害を開示してから50日後の下落率は平均6.3%だった。

被害を受ければ、システム復旧や営業停止、風評被害などが発生するため、企業ガバナンスの評価に与える影響は決して少なくない。現に、トヨタ自動車の工場が仕入れ先企業の影響でサイバー攻撃で1日停止した件は記憶に新しいだろう。これは、トヨタ自動車の関連会社である小島プレス工業がマルウェア被害を受けた結果、発生したものとの開示が関係各社によりされた。

翌日には稼働再開したものの、サイバーリスクでどれほどの影響を及ぼすかは想像に難くない。

また、企業価値への影響力が大きくなったことで、投資家がサイバーリスクを重要視している。投資家の投資材料として活用されはじめたのも、サイバーリスクの開示率が急増した理由の1つといえるだろう。

サイバーセキュリティ対策情報開示の取り組み概要

サイバーセキュリティ対策情報開示は、総務省が2017年12月に、サイバーセキュリティタスクフォームの下に開催した「情報開示分科会」が発端となっている。

情報開示分科会では、民間企業のセキュリティ対策の情報開示に関する課題の整理およびサイバーセキュリティ対策の情報開示促進に必要な方策等についての検討が行われた。

その結果を踏まえて作成されたのが「サイバーセキュリティ対策情報開示の手引き」だ。この手引きには、民間企業がセキュリティ対策の情報開示を推進するために、どのように情報開示すべきなのかといった実例がまとめられている。

サイバーセキュリティリスク対策の情報開示をイチから行う場合は、後述する「サイバーセキュリティ対策の観点」や「サイバーセキュリティリスクの開示事例」と併せて、サイバーセキュリティ対策情報開示の手引きを参考にするとよいだろう。

サイバーセキュリティ対策情報開示の目的

サイバーセキュリティリスクは年々増加傾向にある。

警察庁によれば、2021年に警察が検挙したサイバー犯罪件数は前年比24.3%増の約1万2,209件だった。また、2021年のランサムウェア被害件数は警察庁に報告されただけでも146件に上り、ランサムウェア被害も増加傾向にあるそうだ。

近年、企業は経済社会の構成要素として、社会的責任を果たしつつ、自らを取り巻くステークホルダーからの信頼を勝ち得ながら、企業活動を継続かつ円滑に展開することが求められている。

したがって、企業は的確なサイバーセキュリティ対策を講じていかなければならない。サイバー攻撃の増加や、ランサムウェア被害によって工場が停止したトヨタの事例をみても、的確なサイバーセキュリティ対策の重要性は今後、ますます増していくだろう。

このような背景もあり、セキュリティ対策情報の開示が促進されている。

サイバーセキュリティ対策情報開示の3つの観点

サイバーセキュリティ対策情報開示の観点は「内的観点」と、外的観点の「投資判断材料の観点」「取引先選定の観点」の3つだ。

日本サイバーセキュリティイノベーション委員会(JCIC)が2020年5月に公開した「情報セキュリティ/サイバーセキュリティに関する情報開示では何が求められているのか 」をもとにより詳しくみていく。

内的観点

サイバーセキュリティ対策情報開示の内部観点として挙げられるのが「情報セキュリティ対策水準向上」だ。リスクマネジメントや価値創造の両面からサイバーセキュリティは、企業経営における重要課題となっている。

そのため、サイバーセキュリティを経営課題として認識したうえで、セキュリティ方針の策定や体制構築、対策を実施し、情報セキュリティ対策水準を向上させていかなければならない。

また、2020年3月には「経団連サイバーセキュリティ経営宣言に関する取組み」が公開され、自社の取り組みの成熟度を計測し、対策方針を社外に示すように促している。

外的観点

外的観点では「投資判断材料」や「取引選定」の2つの観点を理解しておかなければならない。

それぞれ詳しくみていこう。

投資判断材料の観点

上場企業などには、投資者と公益を保護する観点から、金融商品取引法などでリスク情報開示が規定されており、事業の特性に応じてリスク整理と管理策の取り組み状況を有価証券報告書で開示するよう求められている。

該当企業は市場が定める規則と、金融庁が定めている「企業内容等の開示に関する留意事項について(企業内容等開示ガイドライン)」を参照しながら、開示情報を選択し、投資判断を誤解させない観点から重要な情報を、迅速正確明瞭かつ客観的に記載しなければならない。

また、東京証券取引所に新規上場する場合は「コーポレートガバナンス報告書」の提出が新規上場申請者施⾏規則に定められているなど、情報セキュリティを踏まえた情報開示が求められている。

情報流出などの被害にあった上場企業の株価が下落するのは、冒頭で触れたとおりだ。したがって、サイバーセキュリティ対策は、投資判断材料にもなるという観点を持って取り組み、情報を開示していかなければならない。

取引先選定の観点

企業が自社のリスク管理に取り組む際は、業務委託先などのリスクも認識しておかなければならない。トヨタ工場の稼働が停止したのも、取引先の小島プレス工業がマルウェア被害を受けたことが原因だ。

つまり、組織はサプライチェーン管理の中で、情報セキュリティサイバーセキュリティ対策の状況を取引先のリスク評価項目として考慮しなければならない。

しかし、組織のサイバーセキュリティリスクやセキュリティ対策を、組織外の人間が把握することは通常できない。そこで、重要になってくるのが、サイバーセキュリティリスクの情報開示だ。

サイバーセキュリティ対策情報を開示することにより、セキュリティリスクおよび必要なセキュリティ対策を実施している取引先を把握できるため、企業への信頼感を高めることができ、競合他社との差を広げられる可能性がある。

サイバーセキュリティリスクの開示事例

サイバー攻撃の増加およびサイバーリスクの企業への影響が拡大していく中、サイバーセキュリティリスクを開示する企業が増加したというのは冒頭で解説したとおりだ。

ここでは「日立製作所」「NEC」「楽天」といった大手企業のサイバーセキュリティリスクの開示事例についてみていく。

日立製作所

日立製作所は「情報セキュリティ報告書 2022」という冊子を作成し、サイバーセキュリティリスクおよびサイバーセキュリティ対策を開示している。

具体的なリスク提示というよりは、「情報セキュリティマネジメント」「サイバーセキュリティマネジメント」「データプロダクションの取り組み」というように、サイバーリスクになり得るものを大きく3項目に分けて、それぞれの取り組みや対策、活動についてまとめている形だ。

また、日立の情報セキュリティへの考え方や、情報セキュリティに関する社内外活動、啓発活動などにも触れ、どのような意識を持ってサイバーリスクに挑んでいるかをアピールしている。

NEC

NECも「情報セキュリティ報告書2022」という冊子を作成し、サイバーセキュリティリスクおよびサイバーセキュリティ対策を開示している。

NECでは「情報セキュリティマネジメント」「情報セキュリティ基盤」「除法セキュリティ人材」に触れるだけでなく、「サイバー攻撃対策」「お取り引き先と連携した情報セキュリティ」といった項目も設けて、具体的な対策を開示している。

また、冒頭では「情報セキュリティ推進フレームワーク」や「情報セキュリティガバナンス」に言及している他、経済産業省が提唱している「サイバーセキュリティ経営ガイドライン」Ver 2.0の重要10項目と自社のサイバーセキュリティの対比を行っているのも特徴だ。

楽天

楽天はコーポレートページの「情報セキュリティ・プライバシー」にて、サイバーセキュリティ対策を開示している。

情報セキュリティについて「基本方針」「ガバナンス体制」「情報セキュリティへの取り組み」の3項目に分けて紹介されているのが特徴だ。

具体的なサイバーリスクについては、情報セキュリティへの取り組み内にある「サイバーセキュリティの強化」の項にて、サイバーセキュリティの概要とともに、情報漏えいやデータ改ざん、コンピューターウイルスなどのサイバーリスクについて触れている。

その他開示されているセキュリティ対策としては「国際基準への準拠」「情報セキュリティ教育」「フィッシングメール対策」が挙げられている。

日立製作所や楽天のような冊子作成のハードルが高い場合は、まず手始めに楽天の事例を参考にしながら、公式ホームページにサイバーリスクやサイバーセキュリティ対策について開示していくとよいだろう。

まとめ

  • サイバー攻撃やランサムウェア被害が年々増加する中、サイバーリスクが企業活動に与える影響は大きくなっている。
  • サイバーリスクの影響度が大きくなるにつれて、サイバーリスクを投資材料として活用する投資家も増えてきた。
  • 企業活動への影響度および投資材料として活用という観点からサイバーリスクを開示する企業が増えてきており、2022年の開示率は93%と3年前よりも35ポイント増加。
  • 開示内容をまとめる際は「サイバーセキュリティ対策情報開示の手引き」を参考にしながら、「内的観点」と「投資判断材料の観点」「取引先選定の観点」を持つことが大切。
  • 情報セキュリティ関連の情報をまとめた冊子や公式ホームページで、サイバーリスクを開示するのが一般的だが、上場企業などは事業の特性に応じてリスク整理と管理策の取り組み状況を「有価証券報告書」で開示するよう求められている。

参考文献

サイバーリスク開示93% プライム上場企業

トヨタの工場を止めたサイバー攻撃 サプライチェーン攻撃のリスクが露呈

サイバーセキュリティ対策情報開示の手引きの策定

情報セキュリティ/サイバーセキュリティに関する情報開示では何が求められているのか

警視庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について

情報セキュリティ/サイバーセキュリティに関する情報開示では何が求められているのか

経団連サイバーセキュリティ経営宣言に関する取組み

日立製作所 情報セキュリティ報告書 2022

NEC 情報セキュリティ報告書2022

楽天 情報セキュリティプライバシー

セミナー・イベント情報