PwC’s View 特集 : Vol. サイバーリスクへの対応 3 July 2016 www.pwc.com/jp 特集:サイバーリスクへの対応 サイバー・セキュリティ・リスクの 開示に係る動向 PwC あらた監査法人 システム・プロセス・アシュアランス部 シニアマネージャー 三澤 伴暁 はじめに 明確な目的を持った攻撃が増え、巧妙かつ執拗な攻撃が増 近年、ITデバイスの多様化・低価格化やクラウドの利用 加する傾向にあります。 等、ITを取り巻く環境に大きな変化が起きています。これま でとおりの考え方による ITの管理、セキュリティ対策には限 (2) 「サイバーセキュリティ経営ガイドライン 」の公開 界が見え始め、実際に社会的にも大きなインパクトを与えた こうした環境の変化や攻撃の深化により、過去の常識に基 セキュリティインシデントがいくつも発生しています。これら づいた管理方法では効果的なセキュリティ対策を十分に施 のインシデントは経営にも直接的に大きなダメージを与え、 すことができなくなり、攻撃を完全に防ぐことが難しくなりつ 事後の対応に莫大な費用と時間を要することも珍しくありま つあります。そのため、企業戦略として IT 投資やセキュリ せん。こうした状況から、もはやセキュリティに関する課題は ティ投資をどの程度行うか等、経営者による判断の重要度 経営課題であると認識することが常識となりつつあります。 が高まってきています。このような背景のもと、経済産業省 本稿では、経営課題としてのセキュリティに関する取り組 から 「サイバーセキュリティ経営ガイドライン」が公開されま みのうち、特にセキュリティリスクの開示に焦点を当て、米国 した(図表1)。 における仕組みの概要と、国内における動向を中心に概括 当該ガイドラインでは、 「サイバーセキュリティは経営問 することとします。 題」 とし、 「セキュリティ投資に対するリターンの算出はほぼ なお、文中の意見に係る部分は筆者の私見であり、PwC 不可能」であるため、 「サイバー攻撃のリスクをどの程度受 あらた監査法人または所属部門の正式見解でないことをあ 容するのか、セキュリティ投資をどこまでやるのか、経営者 らかじめお断りします。 がリーダーシップをとって対策を推進しなければ、企業に影 響を与えるリスクが見過ごされてしまう」 とする等、サイバー セキュリティ対策が経営層による積極的な推進なくしては行 1 セキュリティリスクは ITリスクから経営リスクへ ( 1 )セキュリティを取り巻く環境の変化 えないことが示されています。 ( 3 )セキュリティリスクは経営リスク これらの状況に加え、近年発生しているインシデントによ スマートフォンやタブレットに代表されるデバイスの多様 る教訓からも明らかなように、ひとたびセキュリティインシデ 化、IoTデバイスの急速な普及、クラウド利用の加速による ントが発生すれば、サービスやビジネスの停止、金銭要求 “開発/購入から利用へ ”の変化等、ITを取り巻く環境に大 による直接的な損失や対応費用の計上、ブランド価値の低 きな変化が起き、従来の常識が大きく変わりつつあります。 下、株価低下による時価総額の低下等、経営に対する直接 ビジネスの視点からは、外部委託先はもとより協力企業や 的なインパクトを避けることができません。こうしたリスクを グループ企業、時には競合他社ですら相互に連携し合い、 顕在化させないためには、IT基盤に対する対策のみならず、 ネットワークを介した接続を行う機会が増え、サイバー空間 事業に関わる全ての部門で対策を行うことや、全従業員が における“内部”と“外部”の境界はあいまいなものとなりつつ セキュリティに対する高い意識を持つことが求められます。 あります。その結果、対策を施す対象は “自社の内部 ”のみ もはやセキュリティリスクは ITリスクとして一部の部門のみ とは限らなくなってきています。 加えて、攻撃の視点からは、多くのインシデント事例や被 害報告が示すように、金銭要求による利益の獲得のような が対応するものではなく、全社的な対応が求められる経営リ スクとなっている、ということができます。 またこのところインシデントやセキュリティに関する話題 PwC’s View — Vol. 03. July 2016 15 特集:サイバーリスクへの対応 図表1:サイバーセキュリティ経営ガイドライン (2015年12月28日 経済産業省) より作成 サイバーセキュリティ経営の3原則 1 経営者は、IT活用を推進する中で、サイバー・セキュリティ・リスクを認識し、リーダーシップによって対策を進めることが必要 2 自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要 3 平時及び緊急時のいずれにおいても、サイバー・セキュリティ・リスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要 サイバーセキュリティ経営の重要10項目 (1)サイバー・セキュリティ・リスクの認識、組織全体での対応の策定 (2)サイバー・セキュリティ・リスク管理体制の構築 1 リーダーシップの表明と体制の構築 2 (3)サイバー・セキュリティ・リスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定 サイバー・セキュリティ・リスク管理の (4)サイバーセキュリティ対策フレームワーク構築(PDCA) と対策の開示 枠組み決定 (5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握 3 リスクを踏まえた攻撃を防ぐための 事前対策 (6)サイバーセキュリティ対策のための資源(予算、人材等)確保 (7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保 (8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備 4 サイバー攻撃を受けた場合に 備えた準備 (9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施 (10)被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備 が報道やメディアで取り上げられることが多くなってきまし よって規定されており、どの企業にも当てはまるような一般 た。ステークホルダーを含めた社会全体の認知度・理解度 的な内容ではなく、それぞれの企業固有の内容を具体的に が高くなり、経営者の推進力への期待が高まってきていると 記載することが求められています。 いえます。裏を返せば、ひとたびセキュリティインシデント が発生し、何らかの社会的な影響を与えてしまった場合に ( 2 )サイバー・セキュリティ・リスクの開示 は、経営責任を問われる可能性が高まっているともいえま このような非財務情報の開示に関する仕組みの中で、サ す。実際に数年前に起きたインシデントにおいて、代表取 イバー・セキュリティ・リスクの開示に関して以下のような文 締役や取締役兼CIOが辞任している事例もあります。 書やコメントが公開されており、事実上開示が要求されてい こうした背景のもと、経営課題に対して自社がどのように ることがわかります。 対応しているのか、その説明責任を果たすべく、セキュリ ティリスクの認識や対応について積極的に開示すべきとの ①CF Disclosure Guidance: Topic No. 2 Cybersecurity 動きが出てきています。次項以降では、まず米国における サイバー・セキュリティ・リスクの開示の仕組みを概括し、 (2011 年10月13日) サイバーセキュリティの開示に関する詳細なガイダンス その後に国内における動向に触れたいと思います。 が、SEC(U.S. Securities and Exchange Commission: 米 国 証 券 取 引 委 員 会 )の D i v i s i o n o f C o r p o r a t i o n 2 Finance( 企業財務局)より発行された「CF Disclosure 米国上場企業における サイバー・セキュリティ・リスク開示 ( 1 )米国上場企業における非財務情報開示の仕組み概要 Guidance: Topic No. 2 Cybersecurity」 (以下 CFDG No.2)に示されています。 この中に、 「サイバー・セキュリティ・リスクやインシデン 米 国 の 証 券 取 引 所 に 上 場して いる会 社 は 、い わ ゆる トについて明言されたものはないものの、数多くの開示 1933 年証券法、1934 年証券取引法と呼ばれる法律に基づ 要件から、上場企業に当該リスク、インシデントの開示を き、年次報告書の提出が求められています。この年次報告 書は、米国企業であれば Form 10-K、米国外の企業であれ 義務付けることができる」 との記載があります。 ば Form 20-Fというフォーマットを用いて提出される必要が “Although no existing disclosure requirement explicitly refers to cybersecurity risks and cyber incidents, a number of disclosure あり、この中で非財務情報(バランスシート、損益計算書等 requirements may impose an obligation on registrants to 財務数値以外の情報)が開示されることになります。Form disclose such risks and incidents.”(CFDG No.2より抜粋) 10-K(Form 20-F)は、日本における有価証券報告書に該当 また Risk Factorsの開示は、前述の連邦規則 Regulation S-K に従う必要があることについて改めて触れられてお するものといえます。 り、サイバー・セキュリティ・リスクについても他の企業に 開示が求められている非財務情報には、有価証券報告書 における「事業等のリスク」に該当する Risk Factors(リスク 当てはまるような一般的な内容の記載を避け、企業固有 要因)が含まれています。この Risk Factorsに記載すべき内 の具体的な内容を記載することが求められています。 容は、連邦規則である Regulation S-Kの Item 503(c)に 16 PwC’s View — Vol. 03. July 2016 “Consistent with the Regulation S-K Item 503(c)requirements 特集:サイバーリスクへの対応 for risk factor disclosures generally, cybersecurity risk disclosure ての検討が行われています。 provided must adequately describe the nature of the material こうした動きの中で公開されている文書の中から、具体的 risks and specify how each risk affects the registrant. Registrants にサイバーセキュリティに関する記述があるものをピック should not present risks that could apply to any issuer or any アップしてみると、代表的なものとして以下を挙げることが offering and should avoid generic risk factor disclosure. (CFDG ” できます。 No.2より抜粋) ①サイバーセキュリティ戦略(2015 年9月4日) ②SEC Commissioner Luis A. Aguilar’s Speech(2014 年 サイバーセキュリティ基本法の規定に基づき、サイバー 6月10日) セキュリティ政策に関する新たな国家戦略として、政府に SECの理事である Luis A. Aguilarが “Cyber Risks and より 「サイバーセキュリティ戦略」が策定されました。この the Boardroom” Conferenceにおいて行ったスピーチに 中で、サイバーセキュリティに関する素養が経営層の必 おいて、 「重大な影響が資本市場の基盤や上場企業、投 須能力となりつつあり、その対策は「費用」ではなく 「投 資家に及ぶことから、サイバー攻撃による脅威は大きな 資」であるとの意識を醸成していくためにも、取り組みが 関心事となっている」 とし、その一例として前述の CFDG ステークホルダーから正当に評価される仕組みの構築を No.2を取り上げています。ここでは、上場企業のセキュリ ティリス クと イン シ デ ント の 開 示 が 、「 開 示 義 務 」 推進する、とうたわれています。 (“disclosure obligations”) と表現されています。 「セキュリティ対策はやむを得ない「費用」ではなく、より積極的 な経営への「投資」であるとの認識を醸成していくことは、我が国 “As an SEC Commissioner, the threats are a particular concern の経済社会の活力の向上及び持続的発展のために必要である。 because of the widespread and severe impact that cyber- このため、サイバーセキュリティを経営上の重要課題として取り組 attacks could have on the integrity of the capital markets んでいることが市場や出資者といったステークホルダーから正当 infrastructure and on public companies and investors. The に評価される仕組みや資金調達等の財務面で有利となる仕組み concern is not new. For example, in 2011, staff in the SEC’s の構築、認識醸成のための官民が一体となった啓発活動を実施 Division of Corporation Finance issued guidance to public する。」 (「サイバーセキュリティ戦略」 より抜粋) companies regarding their disclosure obligations with respect to cybersecurity risks and cyber-incidents.”(”Boards of Directors, ②「サイバーセキュリティ2015」 (2015 年9月25日) Corporate Governance and Cyber-Risks: Sharpening the Focus” NISC 内に設置されたサイバーセキュリティ戦略本部に よって、上記の「サイバーセキュリティ戦略」に基づく年次 -"Cyber Risks and the Boardroom" Conference より抜粋) 計画として「サイバーセキュリティ2015」が策定されてい これらの状況から、米国の上場企業においては、明示的 ます。この中で、サイバー・セキュリティ・リスクの開示に かつ直接的に法的拘束力があるわけではないものの、サイ 関して、米国の SECにおける取り組みを参考に検討を行 バー・セキュリティ・リスクの開示が事実上の義務として認 識されていることがうかがえます。 う旨の記載があります。 「内閣官房及び金融庁において、上場企業におけるサイバー攻 撃によるインシデントの可能性等について、米国の証券取引委員 3 日本国内におけるサイバー・セキュリティ・ リスク開示に係る動向 ( 1 )国家戦略上のサイバー・セキュリティ・リスク開示に 関する動向 会(SEC)における取組等を参考にしつつ、事業等のリスクとして 投資家に開示することの可能性を検討し、結論を得る。その際、 関連情報の共有など開示するインセンティブを促すための仕組み の在り方についても併せて検討し、結論を得る。」 (「サイバーセ キュリティ2015」 より抜粋) サイバ ーセキュリティ基 本 法 が 2 0 1 4 年 1 1 月に成 立、 2015 年 1月に施行され、同法に基づき内閣サイバーセキュ ③「サイバーセキュリティ経営ガイドライン」 リティセンター(以下NISC)が発足されました。当該センター 前述の「サイバーセキュリティ経営ガイドライン」内にも、 を中心として、企業におけるサイバーセキュリティに関する 「サイバーセキュリティ経営の重要 10 項目」のうち、 「(4) 取り組みについての活発な議論が行われています。その中 サイバーセキュリティ対策フレームワーク構築(PDCA) と で、経営者による積極的な対策の推進は重要な課題として 対策の開示」の項目に、開示に係る記載があります。この 取り上げられており、ステークホルダーに対する透明性の確 中で、対策を適切に開示しなければステークホルダーや 保のためにも、サイバー・セキュリティ・リスクの開示につい 取引先の信頼が損なわれ、企業価値の低下を招くおそれ PwC’s View — Vol. 03. July 2016 17 特集:サイバーリスクへの対応 があるとし、その対策として CSR報告書や有価証券報告 書への開示が例示されています。 図表 2:サイバー・セキュリティ・リスク開示企業数の推移〈企業の情報セキュリ ティリスク開示に関する調査(2015年3月 NISC) より作成〉 (4)サイバーセキュリティ対策フレームワーク構築(PDCA) と対 策の開示 ■開示企業数(日経225中) 140 計画を確実に実施し、改善していくため、サイバーセキュリティ対 130 策を PDCAとして実施するフレームワークを構築させていますか? その中で、監査(または自己点検)の実施により、定期的に経営者 に対策状況を報告させた上で、必要な場合には、改善のための 120 指示をしていますか?また、ステークホルダーからの信頼性を高 127 めるため、対策状況について、適切な開示をさせていますか? <対策を怠った場合のシナリオ> ・適切な開示が行われなかった場合、社会的責任の観点から、事 110 業のリスク対応に ついてステークホルダーの不安感や不信感を 100 惹起させるとともに、リスクの発生時 に透明性をもった説明がで 130 121 116 2009年度 136 2010年度 2011年度 2012年度 2013年度 きない。また、取引先や顧客の信頼性が低下することに よって、 企業価値が毀損するおそれがある。 また業種別の開示率も示されており、業種によっては既に <対策例> 100%の割合でサイバー・セキュリティ・リスクの開示が行 ・サイバーセキュリティ対策の状況について、サイバーセキュリ われている状況が見られます(図表3)。 ティへの取組みを踏まえたリスクの性質・度合いに応じて、情報 ここで取り上げた結果は報告書の一部でしかありません セキュリティ報告書、CSR 報告書、サステ ナビリティレポートや有 が、積極的にサイバー・セキュリティ・リスクを開示している 価証券報告書等への記載を通じて開示を検討する。 企業が多数存在し、年々その割合が増えていることからも、 (「サイバーセキュリティガイドライン」 より抜粋) ステークホルダーからの期待の増加と、それに対する企業 の姿勢の変化を感じ取ることができます。 このように、現段階で開示が明確に義務化されているわけ 前述の国家戦略上の動きや直近で発生しているインシデ ではありませんが、 「米国 SECにおける取り組みを参考にし」 ントの社会的なインパクトの大きさからも、この傾向は今後 との記述が示すように、法的拘束力を持たずとも事実上の も続き、セキュリティリスクを開示する企業は増加し続ける 義務となり得る仕組みの導入も視野に入れた、具体的な検 と予測されます。現段階で開示の割合が相対的に低い業種 討が進められている状況にあるといえます。 については、他業種と比較してセキュリティリスクが相対的 に低いのか、単に対策が遅れているのかを見極める必要が (2) 日経 225 企業におけるサイバー・セキュリティ・リス ク開示の状況 あり、後者の場合には早急な対策の実施が求められる状況 にあるといえます。 上記のような取り組みの一環として、実際にサイバー・セ キュリティ・リスクを開示している企業の状況が調査されて おり、その結果が 2015 年 3 月に NISC から「企業の情報セ 4 おわりに キュリティリスク開示に関する調査」 として公開されていま す。調査対象とした企業は日経 225 社ですので、それ以外 これまで見てきたとおり、セキュリティを取り巻く環境の変 の企業についての実態まではわかりませんが、大きな傾向 化から、セキュリティリスクは経営リスクとなり、経営層に求 を知る上で貴重な調査結果であるといえます。 められる役割の重要度が増しています。また米国における この中で、有 価 証 券 報 告 書の「事 業 等のリスク」にサイ 開示の仕組みや国内における動向からは、有価証券報告書 バー・セキュリティ・リスクに関する開示項目があった企業 への開示の流れが進むように見えます。現時点では法的な が、2014 年度において日経225 社中136 社あり、2009 年 根拠や具体的な指針、ガイドライン等があるわけではありま 度の 116 社から年々増加していることが述べられています せんが、 「サイバーセキュリティ経営ガイドライン」に開示に (図表2)。 関する記述があること等からも、インシデント発生時の説明 責任を視野に入れた対応を早急に行っておく必要があると いえるでしょう。少なくとも同業種において開示する企業が 大多数を占める状況で開示していない場合、ステークホル 18 PwC’s View — Vol. 03. July 2016 特集:サイバーリスクへの対応 図表3:業種別サイバーセキュリティ情報開示状況の分布〈企業の情報セキュリティリスク開示に関する調査(2015年3月 NISC) より作成〉 業種 大分野 社数 A. 技術 B. 金融 C. 消費 D. 素材 E. 資本財・その他 F. 運輸・公共 合計 57 21 28 64 35 20 中分野 社数 情報開示企業数 中分野別開示率 01 医薬品 8 2 25.0% 02 電気機器 29 20 69.0% 03 自動車 9 4 44.4% 04 精密機器 5 3 60.0% 05 通信 6 6 100.0% 06 銀行 11 11 100.0% 07 その他金融 1 1 100.0% 08 証券 3 3 100.0% 100.0% 09 保険 6 6 10 水産 2 1 50.0% 11 食品 11 10 90.9% 12 小売業 8 8 100.0% 13 サービス 7 5 71.4% 14 鉱業 1 0 0.0% 15 繊維 5 0 0.0% 16 パルプ・紙 3 0 0.0% 17 科学 18 5 27.8% 18 石油 2 2 100.0% 19 ゴム 2 1 50.0% 20 窯業 9 3 33.3% 21 鉄鋼 5 0 0.0% 22 非鉄・金属 12 5 41.7% 23 商社 7 5 71.4% 24 建設 8 4 50.0% 25 機械 16 8 50.0% 26 造船 2 2 100.0% 27 その他製造 3 3 100.0% 28 不動産 6 1 16.7% 29 鉄道・バス 8 7 87.5% 30 陸運 2 2 100.0% 31 海運 3 1 33.3% 32 空運 1 1 100.0% 33 倉庫 1 1 100.0% 34 電力 3 3 100.0% 35 ガス 2 2 100.0% 225 136 225 ダーからは「開示していない」ではなく 「開示できない」 と受 大分野別開示率 61.4% 100.0% 85.7% 32.8% 51.4% 85.0% 把握し、ステークホルダーに対する説明責任が十分に果た け取られる可能性があり、リスクに対する企業の姿勢そのも せる状況にあるかどうかをチェックすることから始めてみて のが問われかねません。 はいかがでしょうか。 前述のとおり、既にセキュリティリスクやその対応状況を 開示している企業が多数あるなか、実際の対策を含め、自 社が後れを取っていないといえるでしょうか。また既に開示 している企業については、現状の対策に甘んじることなく、 セキュリティを取り巻く環境の変化にタイムリーに対応でき ているといえるでしょうか。 セキュリティ対策の実施には、一定の成果が得られるまで に相応の時間を要するものです。開示が当たり前となった 際に他社に遅れを取らないためにも、今すぐにでもできるこ 三澤 伴暁 (みさわ ともあき) PwCあらた監査法人 システム・プロセス・アシュアランス部 シニアマネージャー PwCあらた監査法人に入所後、IT及びプロセスのスペシャリストとして多 数の監査業務に従事。大手情報通信企業におけるセキュリティ管理態勢 構築支援、セキュリティツール導入事前評価、管理策運用状況の評価をは とに着手しておくことは、セキュリティ対策の推進において じめ、大手保険会社における情報セキュリティ評価、大手メーカーにおけ も、ステークホルダーに対する積極的な姿勢の表明の意味 るセキュリティ管理体制構築支援等、セキュリティ関連の支援業務の実績 においても決して無駄にならないと言えます。そのために も、まずは自社の現状を棚卸して、現在の取り組み状況を 多数。公認情報システム監査人(CISA)。 メールアドレス:[email protected] PwC’s View — Vol. 03. July 2016 19 PwC あらた監査法人 〒 104-0061 東京都中央区銀座 8-21-1 住友不動産汐留浜離宮ビル Tel:03-3546-8450 Fax:03-3546-8451 PwC Japanは、日本におけるPwCグローバルネットワークのメンバーファームおよびそれらの関連会社 ( PwC あらた監査法人、京都監査法人、PwCコ ンサルティング合同会社、PwCアドバイザリー合同会社、PwC 税理士法人、PwC 弁護士法人を含む)の総称です。各法人は独立して事業を行い、相互 に連携をとりながら、監査およびアシュアランス、コンサルティング、ディールアドバイザリー、税務、法務のサービスをクライアントに提供しています。 © 2016 PricewaterhouseCoopers Aarata. A ll rights reser ved. P wC refers to the PwC net work member firms and/or their specified subsidiaries in Japan, and may sometimes refer to the PwC net work. Each of such firms and subsidiaries is a separate legal entit y. Please see w w w.pwc.com/structure for further details.
© Copyright 2024 ExpyDoc