第2回 ESGにおけるサイバーセキュリティ【ESG投資及びディスクロージャーとCyberについての考察(投資家等外部ステークホルダーからの要請)】 ブックマークが追加されました
投資家から金融機関に対するESG投資への期待が高まるなか、ESG文脈でサイバーセキュリティ対応が欠かせない状況になりつつあります。背景には企業価値を左右するテーマとしてサイバーセキュリティが明確に位置づけられている状況があると考えられます。本稿では、ESG評価機関対応のみならず、M&AにおけるESGデューデリジェンス(DD)の一環としてのサイバーセキュリティ対策まで、期待される水準と事例をご紹介します。
2021年5月、米国で石油パイプラインを運営する大手企業がランサムウェア攻撃を受け約1週間にわたって操業を停止した報道が記憶に残る方も多くいらっしゃるかも知れません。アメリカ東海岸の燃料供給の約半分を担う同社の操業停止により、一般市民や燃料が必要となる各種機関に大きな影響を与えただけでなく、早期解決として身代金440万ドル(約4億8000万円)を支払う決断はこのテーマが大きなビジネスリスクであることを示しています。
今やサイバー犯罪による損害額は世界で6兆ドル以上と言われており[1]、データ侵害にあった企業は平均して3.5%の株価下落、逆にサイバーセキュリティが強固な企業は業績が市場平均を最大7%上回るという調査結果もあります[2]。
サイバーインシデントによる株価影響[3]
このような状況を背景に、投資家からもサイバーセキュリティへの対応が求められています。企業側の対策が不十分となれば短期的な財務影響のみならず、レピュテーションや訴訟リスクも高まり、中・長期的な影響も懸念されることからも当然の要求と考えられます。では投資家はどのようにして各社のサイバーセキュリティへの対応レベルを評価しようとしているのでしょうか?その評価手法から企業側に求められる対策を探ってみたいと思います。
私たちの厚生年金と国民年金の積立金の管理・運用を行うGPIF(年金積立金管理運用独立行政法人)が採用するESG指数に含まれる「MSCIジャパンESGセレクト・リーダーズ指数」や「MSCI日本株女性活躍指数 (WIN)」を算出・公表するMSCIは、セクター別に「Privacy & Data Security」の重み付けを設定しています[4]。セクターによって個人情報の取り扱い有無が異なる為、全ての企業に対して一律に対策が必要なものではありませんが、このテーマが重要なセクターに属する企業では十分な対策を講じておかないとESGスコアが下がるという仕組みになっており、総合スコアへの影響度を重み付け(Weight)として設定しています。この重み付けは通信(Communication Services)で最も高く24.1%、IT(Information Technology)と金融(Financials)の10.1%がこれに続いています。
あるいはグローバルで一定の存在感を持つDJSI(Dow Jones Sustainability Indices)の銘柄選定で使用されるS&PグローバルのCSA(コーポレートサステナビリティ評価)調査では61産業分類のうち、満点に占める重み付けは異なるものの全ての産業に「Information Security/ Cybersecurity & System Availability」が、約半数の32産業に「Privacy Protection」の評価項目が適用されています[5]。ここからもサイバーセキュリティがESG評価にしっかりと組み入れられている状況が見て取れます。
なおこのCSAでは「Information Security/ Cybersecurity & System Availability」をガバナンス・経済領域のテーマの一つと位置付けており、セクター/インダストリーによってはサイバーセキュリティが取締役会の監督対象であり、ESGのG:ガバナンスとして企業が対応を求められる課題であることが分かります。
続いて、ESG評価においてサイバーセキュリティがどのように評価されているかを解説していきます。サイバーセキュリティがガバナンス領域のテーマであることから、ESG評価でよく見られる監督と執行の両面からサイバーセキュリティへの対応が問われてきます。即ち、サイバーセキュリティへの対応や戦略を監督する取締役と執行側の担当役員の設置状況が確認され、このテーマに係る方針の制定状況、推進する体制と手順の整備状況、それらに対するISO27001等の第三者認証の取得状況が確認されます。そしてその結果としての、IT/サイバーセキュリティ違反やインシデントの実績が問われてきます。ESG評価における①ポリシー②マネジメント③パフォーマンスの3点セットがこのサイバーセキュリティ領域にも適用されているわけです。
企業価値は投資家の関心事項であるものの、企業側もM&Aを検討する局面では買収先の企業価値をできるだけ正確に把握する必要があり、財務・法務・税務等のデューデリジェンス(DD)の過程を通じて評価しています。
このM&AにおけるDDとしてESGテーマを扱うケースが増えており、その一環としてサイバーセキュリティ関連リスクを確認する実務が進んでいます。そのプロセスでは、先に紹介したESG評価におけるサイバーセキュリティと類似するアプローチを取ります。投資家が企業を評価する観点と、企業が買収先を評価する観点が類似するというのはある意味、自然な成り行きなのかもしれません。このM&Aにおけるサイバーセキュリティリスクの評価はこのブログシリーズの中でも掘り下げていく予定です。
投資家による企業評価やM&AにおけるDDなど、様々な局面で価値を評価するための評価基準が変わりつつあります。中長期の将来にわたって顕在化する可能性のあるリスクを予め見極めたい、あるいは社会や環境への価値創造、即ちプラスのインパクトを創出するポテンシャルを判断したいと様々なステークホルダーが考えています。今回ご紹介したようにサイバーセキュリティはそのドライバーとして、確実に注目度が上がってきています。
最近の事例としても、先日開催されたISSBミーティング(7/20~21)において、ISSBにより特定された潜在的優先事項のリストとして、気候変動やサーキュラーエコノミー、人的資本等と並んでサイバーセキュリティ、データセキュリティ、顧客プライバシーが含まれており、これらに対して今後、一般の意見を求める予定が示されています。
企業は外部ステークホルダーからの期待をマテリアリティ分析やステークホルダーエンゲージメントを通じて適切に把握し、その期待値や重要性に応じた仕組み(取締役会による監督を含む)を構築したうえで、取り組みの方向性と進捗状況を含む詳細情報を定期的に社外に発信していくことが重要になります。現在、非財務情報開示の基準作りが国内外で急速に進んでいます。これらの基準策定においてサイバーセキュリティがどのように取り扱われるのか、動向を継続的に注視していく必要があるでしょう。
[1] 令和2年版 情報通信白書https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/pdf/n3400000.pdf
[2] https://www.comparitech.com/blog/information-security/data-breach-share-price-analysis/
[3] 一般社団法人日本サイバーセキュリティ・イノベーション委員会 「サイバーリスクの数値化モデル」
[4] MSCI, 2022, 「ESG Industry Materiality Map」
https://www.msci.com/our-solutions/esg-investing/esg-ratings/materiality-map
[5] S&P Global, 2022, 「Weights Overview」
https://portal.csa.spglobal.com/survey/documents/CSA_Weights.pdf
・サステナビリティ関連ページ
クライメート(気候変動)&サステナビリティ
ESG・統合報告アドバイザリー
・第1回 Cyber Everywhereの時代に求められる対応(GREAT RESET IN Cyber Security)
・第3回 サイバーインシデントに関する開示の国際動向【米国証券取引委員会(SEC)のサイバーセキュリティ開示の規則案への対応準備について】
・第4回 M&Aにおけるサイバーセキュリティ
・第5回 SAP移行とセキュリティ・バイ・デザイン対策【セキュリティ・バイ・デザインなき業務基盤にDXは成しえない】
・第6回 「投資」に値する効果的なサイバーセキュリティ対策【サイバーセキュリティ × データアナリティクス専門家の必要性】
・第7回 情報安全保障に関する提言【真偽不明な「情報」が満ち溢れる昨今のデジタル社会における「情報」に関する問題点と必要なリスク対策とは?】
・第8回 クラウドセキュリティ態勢とガバナンス強化【情報セキュリティガバナンス態勢強化に向けたアプローチ】
・第9回 転換期を迎えている“サイバーセキュリティに関する委託先管理”の概念・捉え方【適切な委託先選定、委託先モニタリングを通じた委託先管理】
・第10回 サイバーリスクの高まりに対する内部監査の役割【DXに伴うサイバーリスクの高まりにおいて、内部監査の役割重要度が増大】
・第11回 デジタル時代におけるIT-BCP必要性の高まり【IT-BCP整備のポイント】
・第12回 断絶の時代をリードするシフトレフト〜ビジネスにアジリティをもたらすDevSecOps〜
・第13回 地方公共団体DXに伴うサイバーリスクの高まり~地方公共団体におけるセキュリティ対策~
・第14回 地方公共団体のGovCloudの移行後の必要なセキュリティ対策【基幹業務のクラウド化に伴う必要なセキュリティ対策に関する考察】
・第15回 スマートシティ推進における個人データの保護・活用
大手インテグレーター、戦略系コンサルファームを経て現職。企業に対するサイバーセキュリティ戦略立案、リスク分析・対応方針立案等の業務を歴任。CISO等の経営アジェンダを広くカバーする一方、技術対策までサイバー全体に一貫整合した経験を有する。