- 日本語 | English
JCICコラム
-----------------------------------------------------------------------------------
サイバー情報開示の義務化がもたらすメリットとは
-----------------------------------------------------------------------------------
JCIC主任研究員 上杉謙二
2025年1月
本コラムでは、上場企業のサイバーセキュリティに関する取組みを有価証券報告書に統一フォーマットで記載することで、株主に対し投資判断や議決権行使に有用な情報を提供する必要性について論じる。なお、サイバーインシデント適時開示の報告義務に関しては、能動的サイバー防御の文脈で国レベルの議論が進行中であるため、スコープ外とした。
このようなサイバーリスクによるビジネスインパクトや株主価値への影響を最小化するためには、情報開示の義務化により経営層の意識を高め、企業全体のサイバーセキュリティの成熟度を高める必要がある。情報開示の手段としては、株主に対する制度開示書類である有価証券報告書が有効であると考えられる。
既に日本の上場企業では、有価証券報告書やコーポレートガバナンス報告書、サスティナビリティ報告書、統合報告書等でサイバーリスクについて記載している例が多くある。しかし、情報開示に関する明確なガイドラインや指標が存在しないため、各企業が独自のフォーマットで開示している。そのため、株主が企業間で他社と取組み状況を比較することが困難となっている。
<モルガン・スタンレーの年次報告書の例>
リスク管理と戦略:当社は複雑化するサイバー脅威に対応するため、取締役会の監督下でサイバーセキュリティ投資を強化し、ERMフレームワークに基づくプログラムを通じてリスクを評価・管理している。
サイバーセキュリティリスクの評価・特定・管理プロセス:当社のサイバーセキュリティプログラムは、NISTフレームワークやCRI Profileに基づき、ネットワークや第三者リスクを管理し、体制を定期評価・改善している。
第三者リスク管理:当社は、第三者リスク管理プログラムを通じて、外部業者のサイバーセキュリティリスクを評価し対応している。
ガバナンスと監査:当社のサイバーセキュリティプログラムは内部監査や独立監査を定期的に受け、取締役会や規制当局に報告され、継続的改善を図っている。
管理層の役割:サイバーセキュリティ戦略はCIOとCISOを中心に、豊富な経験を持つチームが率いている。重大なサイバーセキュリティリスクは、ERM委員会を通じて取締役会にエスカレーションされ、適切な対応が検討される。
取締役会の監督:取締役会の運営技術委員会がITやサイバーセキュリティリスクを監督し、管理層からの報告や外部評価を活用して取締役会と共有し、戦略とリスク管理の向上を図っている。
1) サイバーリスクのビジネスに与える影響
2) 経営層のリスク認識
3) ガバナンス体制(平時、有事)
4) 想定するサイバー攻撃とリスク管理の取組み
5) 守るべき情報資産
6) 重大インシデント発生数
7) 教育・演習の実績
8) サプライチェーンリスクへの取組み
2023年時点で、東証プライム上場企業の89%(※3)が有価証券報告書においてサイバーセキュリティ関連の情報を公開していることから、上記のようなサイバーセキュリティ情報開示のハードルは決して高くないと言えよう。
株主の信頼向上:
株主は、投資先企業にどのようなサイバーリスクがあり、どのようなセキュリティ対策に取組んでいるのかを把握できる。特に海外株主の意識は高く、⽶国株主の9割が投資判断の⼀つとしてサイバーセキュリティ開示情報を活用しているというデータもある(※4)。
経営層の意識向上:
有価証券報告書での情報開示とは、経営層が株主にコミットすることであるため、虚偽の内容を記載することはできない(虚偽を記載した場合、株主代表訴訟のリスクがある)。情報開示の義務化により経営層、CISOやサイバーセキュリティ責任者の意識を向上させることができる。更にはプラス・セキュリティ人材をはじめ、全社員の意識向上に繋がる。
比較容易性:
有価証券報告書での記載フォーマットが統一的になることで、他社との比較が容易になる。近年、有価証券報告書で人的資本指標の開示が義務化されたことにより、「女性管理職比率」「男性育児休業取得率」「男女間賃金差異」が数値指標として開示され、他社との比較が容易になった。サイバーセキュリティについても比較が容易になることで、サプライチェーン全体のセキュリティレベルの向上が期待できる。
なお、開示する情報の範囲を適切に定めることが重要である。詳細すぎる情報はサイバー攻撃者に悪用される可能性がある一方で、不十分な開示は株主の信頼を損なう恐れがある。具体的な技術対策の詳細は開示する必要はなく、経営層の取組み姿勢やガバナンス体制、インシデント発生時のレジリエンス等を簡潔かつ明確に開示する必要がある。
※1 本コラムでの情報開示の義務化とは、コンプライ・オア・エクスプレインによる義務化を指す。つまり、「遵守(コンプライ)するか、遵守しない場合にはその理由を合理的に説明(エクスプレイン)する」ことを意味する。
※2 https://www.morganstanley.com/about-us-ir/shareholder/10k2023/10k1223.pdf (Form10-K Item 1C、Page26-27)
※3 https://itrenmei.jp/files/CYBER_INDEX/2024report-jp.pdf (Page 18)
※4 https://itrenmei.jp/files/CYBER_INDEX/20231208file.pdf (Page 4)
サイバー情報開示の義務化がもたらすメリットとは
-----------------------------------------------------------------------------------
JCIC主任研究員 上杉謙二
2025年1月
はじめに
米国証券取引委員会(SEC)は2023年12月から、年次報告書におけるサイバーリスク管理等の開示を義務付けた。日本でもサイバーセキュリティに関する有価証券報告書での情報開示が義務化されることで、株主保護を実現するだけでなく、経営層の意識を向上させることができるのではないか(※1)。その結果として、日本企業全体のサイバーセキュリティ成熟度の向上が期待できるはずだ。本コラムでは、上場企業のサイバーセキュリティに関する取組みを有価証券報告書に統一フォーマットで記載することで、株主に対し投資判断や議決権行使に有用な情報を提供する必要性について論じる。なお、サイバーインシデント適時開示の報告義務に関しては、能動的サイバー防御の文脈で国レベルの議論が進行中であるため、スコープ外とした。
現在の課題
サイバーインシデントは、ビジネスに大きな影響を与え、株主価値を低下させる結果をもたらす。KADOKAWAは、ランサムウェアによるインシデント公表後に株価が下落を続け、約1か月後に株価が23%下落した。また、サイバー攻撃によるビジネス影響が発生したカシオ計算機では株価が約10%、HOYAでは約8%下落した。このようなサイバーリスクによるビジネスインパクトや株主価値への影響を最小化するためには、情報開示の義務化により経営層の意識を高め、企業全体のサイバーセキュリティの成熟度を高める必要がある。情報開示の手段としては、株主に対する制度開示書類である有価証券報告書が有効であると考えられる。
既に日本の上場企業では、有価証券報告書やコーポレートガバナンス報告書、サスティナビリティ報告書、統合報告書等でサイバーリスクについて記載している例が多くある。しかし、情報開示に関する明確なガイドラインや指標が存在しないため、各企業が独自のフォーマットで開示している。そのため、株主が企業間で他社と取組み状況を比較することが困難となっている。
米国の動向
米国証券取引委員会(SEC)が2023年12月から新たなサイバーセキュリティの開示規則を施行し、重大なサイバーインシデントの発生後4営業日以内の報告、年次報告書におけるサイバーリスク管理やガバナンス情報の開示を義務付けた。筆者は、複数社の年次報告書(Form10-K、Form 20-F)を閲覧したが、その内容のボリュームや内容の充実ぶりに正直驚いた。その中でも、情報開示に積極的であったモルガン・スタンレーの年次報告書の例(※2)を以下に示す。<モルガン・スタンレーの年次報告書の例>
情報開示すべき内容
日本市場においては、有価証券報告書の「サステナビリティに関する考え方及び取組」、もしくは「事業等のリスク」にサイバーセキュリティの取組み状況・指標について、以下の内容を統一的に記載することを提案する。1) サイバーリスクのビジネスに与える影響
2) 経営層のリスク認識
3) ガバナンス体制(平時、有事)
4) 想定するサイバー攻撃とリスク管理の取組み
5) 守るべき情報資産
6) 重大インシデント発生数
7) 教育・演習の実績
8) サプライチェーンリスクへの取組み
2023年時点で、東証プライム上場企業の89%(※3)が有価証券報告書においてサイバーセキュリティ関連の情報を公開していることから、上記のようなサイバーセキュリティ情報開示のハードルは決して高くないと言えよう。
サイバー情報開示の義務化のメリット
サイバーセキュリティ情報開示の義務化には、以下のメリットがある。株主の信頼向上:
株主は、投資先企業にどのようなサイバーリスクがあり、どのようなセキュリティ対策に取組んでいるのかを把握できる。特に海外株主の意識は高く、⽶国株主の9割が投資判断の⼀つとしてサイバーセキュリティ開示情報を活用しているというデータもある(※4)。
経営層の意識向上:
有価証券報告書での情報開示とは、経営層が株主にコミットすることであるため、虚偽の内容を記載することはできない(虚偽を記載した場合、株主代表訴訟のリスクがある)。情報開示の義務化により経営層、CISOやサイバーセキュリティ責任者の意識を向上させることができる。更にはプラス・セキュリティ人材をはじめ、全社員の意識向上に繋がる。
比較容易性:
有価証券報告書での記載フォーマットが統一的になることで、他社との比較が容易になる。近年、有価証券報告書で人的資本指標の開示が義務化されたことにより、「女性管理職比率」「男性育児休業取得率」「男女間賃金差異」が数値指標として開示され、他社との比較が容易になった。サイバーセキュリティについても比較が容易になることで、サプライチェーン全体のセキュリティレベルの向上が期待できる。
なお、開示する情報の範囲を適切に定めることが重要である。詳細すぎる情報はサイバー攻撃者に悪用される可能性がある一方で、不十分な開示は株主の信頼を損なう恐れがある。具体的な技術対策の詳細は開示する必要はなく、経営層の取組み姿勢やガバナンス体制、インシデント発生時のレジリエンス等を簡潔かつ明確に開示する必要がある。
まとめ
このように、有価証券報告書に統一フォーマットでサイバーセキュリティ情報を開示することにより、株主の信頼向上や経営層の意識改革が期待され、企業間の比較も容易になる。しかし、情報開示が進んだとしても、DX化を止めない限り、サイバーインシデントを完全に防ぐことはできない。経営層がサイバーセキュリティに強くコミットすることで、全社的にセキュリティ意識が浸透し、たとえインシデントが発生したとしても、ビジネスへの影響を最小限に抑えることが可能である。今後は情報開示の取組みを通じて、企業価値の向上と市場の信頼確保が一層求められるであろう。以上
※1 本コラムでの情報開示の義務化とは、コンプライ・オア・エクスプレインによる義務化を指す。つまり、「遵守(コンプライ)するか、遵守しない場合にはその理由を合理的に説明(エクスプレイン)する」ことを意味する。
※2 https://www.morganstanley.com/about-us-ir/shareholder/10k2023/10k1223.pdf (Form10-K Item 1C、Page26-27)
※3 https://itrenmei.jp/files/CYBER_INDEX/2024report-jp.pdf (Page 18)
※4 https://itrenmei.jp/files/CYBER_INDEX/20231208file.pdf (Page 4)