副題:リスク開示の有無が株式市場の評価に与える影響
情報セキュリティ・リスク発生を対象にしたイベントスタディを通じて52 Effects of the presence or absence of risk disclosure has on the evaluation of the stock market
The event study in which the information security risks occur in the target
第1節 はじめに
本章の目的は,イベントスタディの方法論を用いてリスク情報の開示がその企業の株 価にどのような影響を与えているかを分析することにある.
本章における研究の動機は,企業がリスク情報を認識し,リスク情報を事前開示する
,すなわち,有価証券報告書等にあらかじめ開示することで,リスクが発生した際の情 報が,その株価に影響するかを検証することである.本章では,リスク情報としてサイ バー攻撃(サイバーテロ)事案の発生と個人情報漏えい事案の発生の2つの情報セキュ リティ・リスクの発生を対象としている(以下,本章では,リスク情報とは,サイバー 攻撃事案の発生と個人情報漏えい事案の発生に関するものとする).
リスク情報としてサイバー攻撃対策や個人情報漏えい対策を開示している企業の情 報に着目する理由は2つある.
一点目は,サイバー攻撃のわが国の社会に与える影響が重視されてきたことである.
海外においてサイバー攻撃は国家の運営を脅かすものとして対策を行っている国もあ る.わが国では,近年,「個人情報の保護に関する法律」(以下「個人情報保護法」と略 す)や「サイバーセキュリティ基本法」の整備,内閣官房に内閣サイバーセキュリティ センター(National center of Incident readiness and Strategy for Cybersecurity:略称NISC)を 設置等,公的機関や企業のサイバー攻撃対策に関心が集まっている.ある企業にサイバ ー攻撃を行うとハッカー集団が予告を行い,実際に攻撃がされなくともサイバー攻撃と して情報開示される場合もある.サイバー攻撃を受けた企業の中には社会インフラを提 供している企業や顧客情報を大量に保有している企業も存在する.攻撃を受けた企業は
,被害内容を把握し早期に情報開示を行っている.サイバー攻撃や個人情報漏えいの発 生は,事前に予測が困難な事象であるが,被害を受けた企業の株価に情報の伝達という 観点で影響しているのではないかという点である.本章では,この点に着目し株価への 影響を分析する.
二点目は,リスク情報の事前開示に関する情報効果の重要性が高まってきているので
52 中村(2017)「リスク開示の有無が株式市場の評価に与える影響 情報セキュリティ・リスク発生を
対象にしたイベント・スタディーを通じて」,中央大学大学院研究年報第4号戦略経営研究科篇2016, 2017年3月を元に改定
90 はないかとのことである.すなわち,リスク情報の事前開示の重要性が以前に比べると 企業の社会的責任の中でガバナンス態勢が構築され維持されていることで,リスク情報 を含む情報開示は,主体的でかつ,積極的であり経済的価値を生むものであると想定し ている.これらのリスク情報を積極的,主体的に事前開示することは,経済的効果も見 込まれ,開示の重要性という観点で注目すべきであると考える.
サイバー攻撃対策として企業の情報セキュリティを堅牢にすることは,これに対する リスク情報の開示の前提となることである.情報セキュリティ対策に関する企業の費用 負担は直接的に利益を生まないことが多く,経営陣による情報セキュリティ対策に対す る理解と決断が必要となる場合が多い.
NRI セキュアテクノロジー(2012)が行った企業における情報セキュリティ実態調査に よれば,2012年の情報セキュリティ関連投資は,回答企業の約70%が現状維持,(2009
年44.4%,2010年63%,2011年62.4%と現状維持が増加しており,投資額を現状維持と
する企業が増え続けている)約20%が増加傾向,10%が減少傾向である.しかしながら,
新たに情報セキュリティ対策が必要となる事象は増加している.それに対して,情報セ キュリティ関連投資は現状維持の企業が多い.企業はセキュリティ対策への投資計画を 見直し,費用対効果の高い対策に集中的に投資するための判断・取捨選択を行っていく 必要に迫られている状況にあると言えると述べている.情報セキュリティ対策に関する 企業の費用負担は直接的に利益を生まないことが多く(セキュリティ対策専門会社など 技術開発と販売をする場合を除いて),対策の内容の大小は,直接費用負担の大小になる.
実際の費用対効果(ROI)を計算するには,一般的なセキュリティ費用の計算法とし て,JRAM,CRAMM,ALE手法が知られている.JRAM(JIPDEC Risk Analysis Method)
は,日本情報処理開発協会が考案した手法であり,質問表をベースに脆弱性を把握/評価 し損失額を算出する.CRAMM(CCTA Risk Analysis Management Methodology)は,英国 で開発された手法であり,質問表をベースに算出する.ALE手法は,米国で推奨されて いる手法であり,損失評価額レベルと発生頻度レベルから年間予想損失額(ALE)の近 似値を算出する.しかしながら,これらの手法は,一般企業の実際の経営には浸透して おらず,経営陣による情報セキュリティ対策に対する理解と決断が必要となる場合が多 い.実際に個人情報の流出やサイバー攻撃を受けた企業の被害額(顧客への損害賠償,
現調復旧,風評被害等)により,事案が発生した場合を想定して費用対効果を算出し,
対策に踏み切ることが想定される.
2005年 3 月に発表された経済産業省の「企業における情報セキュリティガバナンス のあり方に関する研究会報告書」53では,「情報セキュリティガバナンス」を,「社会的 責任にも配慮したコーポレート・ガバナンスと,それを支えるメカニズムである内部統 制の仕組みを,情報セキュリティの観点から企業内に構築・運用すること」と定義して いる.コーポレート・ガバナンスとは,「企業経営を規律するための仕組み」のことで あり,内部統制は企業経営者の経営戦略や事業目的等を組織として機能させ達成してい くための仕組みである.内部統制の仕組みとして,「企業理念・行動規範等に基づく健
53http://www.meti.go.jp/policy/netsecurity/downloadfiles/sec_gov-report.pdf
経済産業省 情報セキュリティに関する政策、緊急情報のWebサイトより(2016年8月31日)
91 全な企業風土の醸成」「法令順守の仕組みの構築」「監査環境の整備」「企業経営に重大 な影響を及ぼすリスクの管理」等があり,すなわち,情報セキュリティを企業内に構築 運用していく際,自身が被害に遭わない,もし被害に遭った場合でも,被害をできるだ け局限化するという情報セキュリティ対策の大原則に加え,経営者が企業リスク管理の 一環として,自らの企業を規律し,社会的責任も踏まえた上で取り組むことが求められ るということを示唆している.
ただし,これらの対策を含めて開示環境の整備が行われ,また,リスク情報の事前開 示の重要性が以前に比べると企業の社会的責任の中でガバナンス態勢が構築され維持 されていることで,2004年から10年超を経過している現在では,これを市場も理解し,
株価にも情報効果を織り込み済みであると考えられる.そのため,リスク情報を含む情 報開示は,主体的でかつ,積極的であり経済的価値を生むものであると想定している.
これらのリスク情報を積極的,主体的に事前開示することは,経済的効果も見込まれ,
開示の重要性という観点で注目すべきである.
こうした問題意識に立ち,リスク情報の事前開示に関して株価への影響を経年変化(
年を経ることで測定値などに現れる変化)の観点から分析する.
本章では,企業がサイバー攻撃を受けて新聞発表されたこと,または,個人情報が漏 えいし新聞発表されたことをイベントとして,その発表日をイベント日(τ=0)と設定 する.そのイベント日における情報が,その企業の株価へどのような影響を与えるのか を調査し,抽出したイベントより生じる,投資に対するリスクにこれらの企業の株価が どのように反応しているかを明らかにすることを目的としている.さらに,イベントが 発生した企業がリスク情報を事前に開示しているか,または,事前に開示していないか で分類し,その情報効果が企業の株価へどのような影響を与えるのかを調査する.企業 の株価への影響を調べるためにイベントスタディの手法を用いた分析を行う.イベント スタディとは,分析対象となるイベントが発生しなかったら実現したであろう収益率を 正常収益率とし,正常収益率と実際の収益率との差を異常収益率として求め,それを検 定する方法論である.異常収益率がプラス(マイナス)であれば,そのイベントは,対 象企業の価値を高める(低める)方向へ作用したと考えることができる.このプラス(
マイナス)となるかの情報源としてリスク情報の事前開示を行っている企業と行ってい ない企業との比較を用い,リスク情報の事前開示を行っている企業をリスク情報事前開 示企業群(イベント有),リスク情報の事前開示を行っていない企業をリスク情報事前 非開示企業群(イベント有)として分類する.
本章の構成は,次の通りである.
第2節では,本研究において参考とした先行研究のレビューを行う.会計情報の情報 効果の存否についての株価変化および変動を使用した実証研究に関して,Ball and
Brown(1968)と Beaver(1968)について,レビューを行う.イベントスタディの方
法論に関してFama,Fisher,Jensen, and Roll(1969)についてレビューを行う.リスク情報の 事前開示に関しての情報効果に関して,金(2007)等についてレビューを行う.
第3節では,イベントの抽出方法とその方法について記す.
第4節では,使用するデータソースと各変数の定義,第5節では,分析手法について,
第6節で仮説を設定し,分析の結果を記す.