投函者(三井千絵)
夕刻の街を救助に走る緊急自動車。サイバーアタックの時は誰が助けてくれるのか?
スチュワードシップ研究会は2月26日、一般社団法人 日本IT団体連盟(以下、IT連)サイバーセキュリティ委員会企業評価分科会と共催で「サイバーリスク開示で高める企業価値」というオンラインセミナーを開催した。IT連では有価証券報告書の開示情報などをもとに企業のサイバー対策を評価する”サイバーインデックス”を開発しており、日頃から開示をもとに企業がサイバー対策を高めることを目指して活動している。同イベントを共催させていただくにあたり、スチュワードシップ研究会では投資家の意識調査を行った。本稿ではその調査結果をもとに過去数年の投資家の意識の変化もあわせて紹介、今後の望むべき開示の議論について述べていきたい。
過去5年ほどの投資家の意識の変化
スチュワードシップ研究会が最初にサイバーリスクについて取り上げたのは2020年12月、経済産業省が作成した企業のサイバー対策可視化ツールについて、企業評価に活用できるか投資家の意見を、とオンラインで解説をしてくれた時だ。この時、会員の大半である国内運用会社では、1、2名が「エンゲージメントで話題にしたことがある」と答えたものの、サイバーセキュリティについて開示するのは危険ではないか、サイバーに関する専門的なことは投資家が聞くようなことではない、といった意見が多く聞かれた。
しかしその後、毎年なんらかのサイバーに関する勉強会を設定していると、投資家の関心や知識は明らかに高まっていった。実際にサイバーアタックにあい、それを公表したり事業になんらかの影響があるケースが増えてきたからだろう。5年前はサイバーに関する話題を企業とし慣れないのは日本の投資家だけではなかった。英国の金融庁FRCも、増え続けるサイバーリスクへの対処を投資家にもっと問うてもらいたいと思っていたがそれがなかなか叶わず、サイバーやデータセキュリティの問題を取り上げるためのディスカッションペーパーを作成していた。それがここ数年、機関投資家が発行するスチュワードシップレポートをみると(筆者はICGNのアワードで審査員をしており、そこで選考対象となったグローバルの運用会社のレポートなどで)サイバーリスク対応についてのエンゲージメントの実施事例などが掲載されるようになった。
そして今回、2月26日のセミナーのために1月から会員に行ったアンケートからは驚くほどの変化を見ることになった。(図表1参照)
7割がエンゲージメントで話題にし、議決権行使の評価にも
アンケートでは、一つ目の質問として「投資家としての業務(分析、エンゲージメントなど)において、企業の開示資料を読む時、サイバーリスクへの対応をチェックすることがあるか」を聞いた。回答は「よくチェックする」が45%ほど。「時々チェックする」、「チェックすることもある」を合わせると80%以上がこの情報を確認している。
次の質問で「エンゲージメントで話題にすることはあるか」では、もちろん担当企業によって異なるものの、「よく話題にしている」が30%弱もあり、「時々話題にする」、「話題にすることもある」が合計で55%近くあった。
そして「議決権行使において、企業のサイバーリスクへの対応を評価項目としたことがあるか」という問いには40%近くが「評価項目としたことはない」と答えたが、「場合によっては評価する」、「評価することもある」が合計でやはり40%近くあり、「評価項目としている」が10%近くあったことは驚きだった。アンケートではどのような議案かまで問うていなかったが、議決権行使の大半は取締役選任議案であり、その賛否の評価に組み入れられている可能性がある。企業にとって、十分なサイバーリスクへの対処なしにアタックを受けることは、過去数年の事例からも、場合によっては事業存続の危機となる。
投資家はどのような開示を望んでいるか
最後の質問として、自由記載欄で開示に対する希望を聞いた。回答は大きく3つに分けられる。ひとつは日頃の開示、もうひとつは実際にサイバーアタックなどにあった緊急時の対応、最後は第三者の評価だ。
具体的な事例をあげると、一つ目には「サイバーセキュリティの管理体制の構築」「サイバーセキュリティ担当役員CISO/CSIRTの設置」、「専任従業員の育成・配置、事案発生時の対応プロセスの構築等がどのようになっているか」、「国際的なガイドラインの適用有無」、「リスク評価やBCPの有無」、「回復のレジリエンス」、「グループ全体の対応」があがった。またサイバー保険の有無や身代金を要求された時の対応ポリシーをあげた人もあった。
次に、サイバーアタックなどを実際に受けた時の対応として、障害発生時の対応手順・開示ルールがどのようになっているか、外部からの攻撃だけでなく内部者による情報の持ち出しなどについて開示の対応がどのようになっているか。グループではどうか。そしてコンティンジェンシープランや対応状況を被害発生時から経過時間別にできる限り具体的に開示して欲しいといった意見が寄せられた。
最後に第三者の評価(とその開示)を求める意見があった。
変わる投資家の認識、より実質的な議論へ
以上のように投資家はいま、サイバーリスクを技術的な問題ではなく、経営者の説明責任、対処の能力といったガバナンスの問題と捉えるようになった、と見ることができる。
もう一つ興味深い点がある。それは議論を通して投資家のこの問題に対する理解も、少し変わってきた点だ。議論をする前は、なぜこのようなサイバーアタックが避けられないのか、十分な人員配置、トレーニング、専門家の雇用がなされているか、という議論を多く聞いたと思う。しかし最近はサイバーアタックは避けられないという認識も高まり、むしろ攻撃を受けた後、どのように通常の事業を再開する準備ができているかという点に、意識が高まっているように感じる。議論を通じて問題の性質を知ることで、投資家の問いもより実質的になっているといえる。
現在、金融庁ではコーポレートガバナンスコードの改訂の議論が行われている。今回は昨年10月に第1回の有識者会議が開催された後、一度も公の議論がないまま本年2月末の第2回会議で改訂案が提示された。コードの簡素化をするということだが、それがなぜいま必要なのかコンセンサスはないように思う。改訂をいかにするかではなく、コード改訂の議論の前に、このような新しいガバナンスの課題を、議論する場をもっと設けて欲しいと思う。昨年の事例をみるだけでも日本企業のサイバーリスク対策は待ったなしだ。スチュワードシップ研究会では引き続き日本IT団体連盟とこの取り組みを行うが、東京証券取引所や経済産業省といった関係者にも、共にこの議論を深めていただけたらと思う。
【図表1】アンケート集計結果 (回答数22名)
