投函者(三井千絵)
気候変動、人権、バイオダイバーシティ・・・最近機関投資家には、あれやこれやと企業や世の中を良くするための行動が求められ「もううんざりだ! 投資のことを考える時間がないじゃないか」と言いたい気持ちが高まっているかもしれない。そんな中で「サイバーリスクは投資家が考えなければならない問題だ」と言われたら、正直うんざりするのではないだろうか。特にITに関する事柄は、多くの経営者や投資家が苦手意識を持っている。しかし昨今、サイバー攻撃の標的になり、経営者の認識・判断・対応が適切にできないと、事業や企業価値への影響が益々大きくなっている。
投資家は経営者にサイバーリスクへの対応を求めるべきか?
2021年5月、米国ではガス会社が、サイバーアタックによって数日ガスの供給を止めなければならない事態になった。ロシアによるウクライナ攻撃が始まった直後には、サプライチェーンの一社が受けたマルウエア被害からトヨタは14工場のラインを止めることになった。地域経済や自社のビジネスに大きな影響を与えるということは、投資家はエンゲージメントで経営者に備えを求めたり、サイバーリスクへの対応の有無を投資先選定時に考慮すべき項目とする必要性が高まっているかもしれない。
とはいえ投資家はこの問題を、どのように経営者とエンゲージメントすればよいのだろうか?
責任投資原則PRIは、2017年から2019年の3年間、サイバーセキュリティに関するコレクティブ・エンゲージメントに取り組むと、その結果をレポートとして発表した。グローバルに55社の機関投資家が集い、53社のグローバル企業に対しエンゲージメントを行って、投資家が求める開示について提言した。
その内容は、まずリーガルコンプライアンス、GDPRなどデータプロテクションに求める対応をどれだけ行っているか。次にポリシー、上級のマネジメントや取締役の説明責任、取締役のコミュニケーション、取締役は企業の状況を把握しているか。続けてスキルとリソース、例えばどれくらい予算を割り当てているか、経験のあるスタッフをアサインしているか、そしてトレーニング、評価、プロセスとプロシージャーとなっている。PRIの担当者は「それでも企業は、サイバーセキュリティ対策について開示しろ、というと抵抗が大きい。たいてい”開示をしたら、却ってターゲットにされてしまう”と言う。しかし開示をしてくれなければ、エンゲージメントも始まらない」
あるロンドンのアセットオーナーは「投資家が企業に対し求めるのは、決してどのようなソフトウエアを使っているかとか、どういうシステムを組んでいるかということではない。サイバーリスクを経営者がどれだけ認識し、どのようなリソースを割り当てようとしているかなどだ」と考えている。しかしPRIの担当者も「やはり投資家でも良く考えているケースと、そこまで認識していないケースがある。この問題については、投資家も企業もある程度の知識が必要ではないか」と思うそうだ。
急増するサイバーリスクと、エンゲージメントを支える開示
前述のPRIの取り組みは、当初あまり国内では知られていなかった。数年前はロンドンの投資家でも「サイバーリスクの話はエンゲージメントで一度話題にしたが、企業がすぐ対応するのでその後はしていない」等という人もいた。しかしサイバーアタックの脅威は、ここ数年急激に大きくなっている。コロナ禍によるロックダウンで、業種問わず業務やサービスがオンライン化したことも一因だ。
一部の投資家は積極的にエンゲージメントのテーマとし、それをエンゲージメントレポートに記載している。
JPモルガンアセットマネジメントは2022年4月に発行した2021年の”Investment Stewardship Report”の中で、その年にエンゲージメントで見られた様々なトピックとして、サイバーセキュリティについての考察を、2つの投資先企業へのエンゲージメント事例とともに説明している。冒頭で「サイバーセキュリティのリスクは常に存在し、ほぼすべての企業にとって重要なリスクである」と述べ、ある調査会社のアンケート結果を引用しながら、既に多くの取締役がサイバーセキュリティをビジネスリスクと見なしていることを紹介した。そしてこれには事業のオンライン化が進んでいることも一因だと分析した。また欧州のGDPRによって課徴金を課せられるケースが続いていることに触れ、その他の国地域でも似たような法令の導入が行われているが、データ保護についても取締役が注目する必要があると述べている。サイバーセキュリティとデータ保護は、いまやビジネスリスクの中でもより重要なものになっており、取締役会のガバナンスが求められるということだ。続けて実際のエンゲージメントの事例として、ある米国小売業者への大規模データ侵害のケースをなどを挙げていた。
このような投資家の動きと呼応してか、米国SECでは今年3月、サイバーセキュリティについて年次報告書と、適時開示に追加をする改定案を発表し意見募集を行った。意見募集は5月に締め切られ、その後現時点(10月中旬)では新たな動きは見られていない。改定案発表のアナウンスメントでは、SECのゲンスラー委員長は「サイバーセキュリティは上場企業がますます対処しなければならないリスクとなっている。投資家は企業がこれら増大するリスクをどのように管理しているか、知りたいと思っている。多くの上場企業はすでにこれに関する開示を行っているが、これらの情報は一貫性があり比較可能で、意思決定に役立つものである必要がある」と述べた。
この改訂案に対し前述のPRIはコメントを送り、そこには「改訂案は歓迎するが、追加的にサイバーセキュリティに関する経営陣とスタッフへの研修の種類や範囲の開示を含めてほしい」と書いた。
英国FRCの取り組み ーー企業と投資家双方の理解をーー
英国の企業開示とガバナンスを担当するFinancial Reporting Council(FRC)では、開示関係者で集い意見を交換しあうことでベストプラクティスを生み出しているプロジェクト”Lab”で、2021年からサイバーセクリティについて取り上げている。何度か議論を行った後、今年の8月にレポートを発行した。
FRC Labの取り組みは、米国SECのような開示規則の検討ではなく、むしろ投資家と企業の対話でベストプラクティスを作るという面で、PRIの活動に似ている。しかしFRCの取り組みでは、サイバーセキュリティだけではなく、デジタルシステム、プロセス、データなど広く対象として議論を行った点が特徴的だ。FRCはこれら全てが昨今ビジネスの持続性、レジリエンス、価値創造の基盤に大きな影響を与えると捉えている。従ってこれらについて投資家により開示することは、企業の持続性やレジリエンスの能力の評価に役立つと、レポートの冒頭で説明している。
FRC Labのレポートは開示の重要性と同時に「過剰開示」をすることのリスクの可能性にも触れている。サイバーリスクの開示の話をすると、企業はよく「それを開示すれば“犯人”に知らせることにもなり、サイバーアタックのリスクが増える」と心配することがある。そしてここでも開示するべき項目として、システム構成などではなく、ストラテジー、ガバナンス、リスク、そしてインシデントが起きた時について、投資家は何を知りたいか、企業は何を開示すべきかについてまとめている。
そして詳細として、ビジネスモデルや戦略において価値を生み出す部分に、このデジタルやセキュリティがどれくらい影響を与えているか、デジタル資産やデータ資産に対し、企業が戦略を持っているかなどの説明を求め、実際の企業開示の例をあげている。ガバナンスでは体制や報告の仕組みだけでなく、カルチャーとして従業員教育も上げている。最後にインシデントの報告については、ナショナル・サイバーセキュリティ・センター(NCSC)が発行しているEU一般データ保護規則(GDPR)の要件も含むガイダンスを紹介していた。
FRCは「PCを使っていない会社は今はない。だからこれは全ての企業にとって問題といえる」と考えている。「サイバーリスクの開示は、投資家にとって必要だけれどボイラープレートにならないよう、あまり最初から細かい開示項目を挙げないほうが良いと思う。FRCでは、ただこの情報を年次報告書に記載するよう求めている」とLabの担当者は述べた。
英国の投資家も、エンゲージメントで質問をし企業が何か答えても、それでよかったのかわからない、という思いがあるようだ。これは気候変動リスクが問われ始めたころとにている。日本の投資家からも「サイバー対策やってますか?ときいて、やっています、答えられたらその後どうしていいかわからない」という声が聞かれる。とはいえ、この問題への対応は待ったなしだ。来年には投資先企業がサイバーアタックをうけ、対応が悪かったことにより被害を大きくし、企業価値を毀損し、それをアセットマネージャーに報告しなければならないケースが増えるかもしれない。
日本でも、SECやFRCのような開示の議論が行われることや、業界レベルで教育機会の提供、投資判断を助けるデータや評価フレーム作成の議論が行われるべきではないだろうか。そして投資家と企業の双方の理解を深める必要があるだろう。「また一つ仕事が増えた・・・」と考えず、ぜひこの問題も取り組んでいきたい。
