サイバーセキュリティリスクの開示強化で期待される経営者の意識変革

2015年9月25日に、新たな「サイバーセキュリティ戦略」（平成27年9月4日閣議決定）に基づく最初の年次計画となる「サイバーセキュリティ2015」が決定・公表された（※１）。この中に「セキュリティマインドを持った企業経営の推進」として、内閣官房と金融庁による取り組みと経済産業省による取り組みが掲げられている。

内閣官房と金融庁は「上場企業におけるサイバー攻撃によるインシデントの可能性等について、（中略）事業等のリスクとして投資家に開示することの可能性を検討」する、としている。サイバーセキュリティリスクは、企業経営にとって重大な事業リスクになりつつあり、その情報開示のさらなる充実が求められているためである。

すでに、有価証券報告書（以下、有報）の「事業等のリスク」中にサイバーセキュリティリスクを開示している企業もある。サイバーセキュリティリスク開示について調査した報告書（※２）（以下、リスク開示調査）によれば、日経225社のうち、同リスクを記載している企業は平成21年度の116社、約52％（※３）から、平成25年度には136社、約60%と増加した。さらに、内閣サイバーセキュリティセンターが重要インフラと特定している13分野（※４）のうち８分野（※５）では、鉄道、物流、化学の分野を除き開示率は100%と“優秀”であった（図表）。ただし、情報通信、化学以外の分野は、記載文が５年間同一（５年開示記載不変）の割合が高く、これらの「多くは、記載文が包括的かつ簡潔で意味が広くとらえられるもの」であった。ITの変化は早く、その変化に伴いサイバーセキュリティリスクが深刻化・多様化しているにも関わらず、５年間記載内容が同一ということは、リスク認識に問題がある可能性がある。

一方、経済産業省は「経営層がサイバーリスクを経営上の重要課題として把握し（中略）経営資源に係る投資判断を行い、組織能力の向上を図るために、（中略）情報開示の在り方等を含めたサイバーセキュリティ経営ガイドラインを年内のできるだけ早期に策定する」としている。ちなみに米国には、サイバーセキュリティリスクに関する情報の開示について、法的拘束力はないものの、Form 10-K（SECに提出する年次報告書）等へ、どのような場合に何を開示すべきかを判断する助けとなるガイダンス“CF Disclosure Guidance: Topic No. 2”がある（※２）。リスク開示調査では海外事例も調査しており、米国の重要インフラ産業を代表する企業のForm 10-Kには「自社の潜在的なリスクや想定される被害について詳しく述べられており、自社の被害事例も開示されている」という（※６）。また、このガイダンスの存在が、同リスクの情報開示に影響を与えている可能性がある、としている。

ただし、日本の場合、前述したようにサイバーセキュリティリスクの認識に問題があり、その根本的な原因は、経営トップと組織の「セキュリティマインド」の不足と考えられる。そのため、有報での情報開示の充実、及び、「サイバーセキュリティ経営ガイドライン」の策定が、トップの意識を変えるキッカケになることを期待したい。

（※１）内閣サイバーセキュリティセンター　サイバーセキュリティ戦略本部　第５回会合（持ち回り開催）（平成２７年９月２５日）
（※２）内閣サイバーセキュリティセンター　「企業の情報セキュリティリスク開示に関する調査— 調査報告書 —」（平成27年３月）　「平成26年度内閣サイバーセキュリティセンター委託調査」実施企業　ニュートン・コンサルティング株式会社
（※３）平成25年度の日経225対象企業のうち２社は、平成21年度時点で組み入れられていなかったため、平成21年度の割合は総計223社におけるもの。
（※４）情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油（内閣サイバーセキュリティセンター「『セプターカウンシル』の活動」）。
（※５）企業数が１社であった航空、クレジットと、日経225にない分野（政府・行政サービス、医療、水道）は除いた。
（※６）なお、全てのサイバーセキュリティリスクを網羅して開示せよ、という議論にはならないと考える。開示によって攻撃を受けやすくなる恐れがあること、技術の変化が早いこと、業務上重要と考えられていない部分や取引先でも“セキュリティの穴”になることがある等、他のリスクと異なる性質があるからである。