企業の情報セキュリティリスク開示に 関する調査
― 調査報告書 ―
平成
27
年3月ニュートン・コンサルティング株式会社
平成
26
年度内閣サイバーセキュリティセンター委託調査「平成26年度内閣サイバーセキュリティセンター委託調査」実施企業
ニュートン・コンサルティング株式会社
〒102-0083 東京都千代田区麹町 3-3-8 丸増麹町ビル5階 Tel: 03-3239-9209
E-mail: [email protected]
【目 次】
1.報告書概要 ... 4
2.本調査の目的及び内容 ... 8
調査の目的 ... 8
調査の内容 ... 8
3.有価証券報告書の調査 ... 9
調査対象と方法 ... 9
調査結果 ... 10
4.ヒアリング調査 ... 16
ヒアリング調査方法 ... 16
ヒアリング調査結果 ... 17
5.海外文献調査 ... 28
米国の取組状況(サイバーセキュリティリスク開示に関する法規等) ... 28
米国FORM 10-Kの開示状況(10社) ... 33
その他の国での取組状況 ... 44
6.添付資料 ... 46
米国におけるそのほかの調査結果に関する参考資料 ... 46
CFDISCLOSURE GUIDANCE:TOPIC NO.2CYBERSECURITY 原文 ... 47
海外文献調査(FORM 10-K)調査対象企業(10社) リスト及び原文 ... 53
EU本部での取組に関する参考資料 ... 71
1. 報告書概要
今回の調査では、有価証券報告書の「事業等のリスク」におけるサイバーセキュリティリスクに関する 記載状況調査、サイバーセキュリティリスク開示の意識等に関するヒアリング調査、サイバーセキュリテ ィリスク開示に関する海外文献調査の3種類を実施したが、それらの調査結果の概要は以下の通りで あった。
1.有価証券報告書の調査
日経225社(平成26年11月1日現在)の平成21年度~25年度における有価証券報告書「事業等 のリスク」の、サイバーセキュリティリスクに関する記載状況について調査した。
・サイバーセキュリティリスクを開示している企業は、平成21年度の52%(116社)から平成25年度では
60%(136社)と増加している。平成25年度のサイバーセキュリティリスク開示割合を業種別でみると、
通信、銀行、その他金融、証券、保険、小売業、石油、造船、その他製造、陸運、空運、倉庫、電力、
ガスの14業種が100%(合計51社)であるのに対して、鉱業、繊維、パルプ・紙、鉄鋼の4業種では
0%(合計14社)であった。全業種の中でサイバーセキュリティリスクの記載のない企業は40%(89社)
であるが、これらの企業では、リスクとして知的財産、薬の副作用、各種法規制、事故・災害、海外情 勢変動と言ったものが挙げられている。例えば、素材産業では開示割合が 32.8%と相対的に低いが、
この理由として、原燃料価格の上昇、為替相場の変動、原材料供給の逼迫等がリスクとして記載され ており、原材料費や為替の影響、海外情勢による原材料の輸入困難等のリスク認識が大きいのに対 し、サイバーセキュリティリスクに対する意識が相対的に低いことや、顧客が消費者ではなく製品加 工・製造業等の企業であることが多いため、個人情報漏えいのリスクを感じにくいといったことが考え られる。
・サイバーセキュリティインシデントの項目としてはコンピューターウィルス感染(69社、17社増加)、外部 からの不正アクセス(45社、11社増加)、サイバー攻撃(18社、11社増加)、ハッキング(17社、7社増 加)が多く見られ、また被害としては個人情報漏えい(113社、12社増加)、機密情報漏えい(105社、
17社増加)、ITシステム障害(85社、23社増加)が多く見られた。(注:カッコ内は平成25年度の記載 社数と平成21年度からの増加社数)
・サイバーセキュリティリスクの記載文が 5年間同一の企業(65社)は業種を問わず存在し、その多くは、
記載文が包括的かつ簡潔で意味が広くとらえられるものであった。これらは、経営陣や記載責任者の 基本的な記載方針に起因しているものと推察される。
・社内におけるインシデント発生事実を記載している企業は4社と少なかった。その中の1社は、平成22 年度有価証券報告書の提出準備中(平成23年4月)に発生したサイバー攻撃によるシステム停止及 び顧客情報への不正アクセスについて直ちに記載し、また規制当局による調査や法的措置の可能性 を追加記載している。また、1社は平成21年度以前のDoS攻撃発生事実を継続して記載しており、2
社は平成25年度に前年度以前に発生したインシデント(営業秘密の情報漏洩の疑い、システムへの 不正アクセス)を追加記載している。
2.ヒアリング調査
サイバーセキュリティリスク開示に関する企業の意識、開示理由・背景、要望等のヒアリング調査(21 社)の主な結果は以下の通りであった。
・サイバーセキュリティリスクを開示している企業16社、及び開示していない企業5社の合計21社に ヒアリングを行った。開示している企業からは、リスクの開示により直接、経営者・従業員・投資家 等の意識が向上する効果は見られていないものの、サイバーセキュリティリスクを有価証券報告書 に記載するための社内検討により、経営者や従業員の意識が高められるとした意見が多かった。
また、有価証券報告書にサイバーセキュリティリスクをどのように記載すべきかのガイドラインを 国等から提供して欲しいといった意見も複数あった。具体的には以下の通り。
- 開示プロセスにおいてサイバーセキュリティリスクを検討することが、経営者及び企業内の開 示関係者・各事業責任者等のリスク認識を高め、具体的なリスク及び対策を共有するうえで 大きな効果がある。
- 開示することでリスクの棚卸にもなる。
- 有価証券報告書への記載内容については、同業他社等の記載を参考にしながら行っている が、サイバーセキュリティリスクを具体的に開示するとその脆弱性が攻撃されるリスクが増し、
どのように記載すべきか判断が難しいために、国等でサイバーセキュリティリスク開示に係る ガイドラインを作成して欲しい。
- サイバーセキュリティリスクの開示が不十分な企業が多いので、国等が音頭をとってガイドし て欲しい。
- サイバーセキュリティリスクに関する情報の入手に苦労しているので、国等は積極的に サイバー攻撃に関する情報やサイバー攻撃対策ガイド等を提供して欲しい。
・有価証券報告書にサイバーセキュリティリスクを開示する理由・背景は下記の通りであったが、経営 者または開示関係者の“リスクの高まりの認識”が1つの大きな理由であった。
- 事業自体が大量の顧客個人情報やITシステム・ネットワークに依存しており、もともと サイバーセキュリティリスクが大きいこと(例:通信業、金融業、空運業)
- ウィルス感染等のインシデントが社内又は社外で発生しリスクの高まりを認識したこと - 他社の有価証券報告書等を参照してリスクの高まりを認識し、記載しないことのリスクも認識
したこと
・サイバーセキュリティリスクを開示していない企業は、コンピューターウィルス対策等を実施している ものの、下記の理由によりサイバーセキュリティリスクを開示していなかった。
- 情報漏えいやITシステム停止等のリスクが有価証券報告書の「事業等のリスク」として開示す る程大きくないと考えていること
- 情報漏えいやITシステム停止等のリスクを「事業等のリスク」として記載しているが、重大脅 威は事故、ミス、社内犯行等の社内要因にあると考えていること
・サイバーセキュリティリスクに関して企業として特に意識している点としては下記があり、いずれも 技術、人、費用等の面での課題となっている。
- 外部脅威(サイバー攻撃)と内部脅威(内部犯行、ミス等)
- 守るべき情報の範囲(顧客個人情報、技術情報、企業秘密、経営情報等)
- 守るべきITシステムの範囲(顧客情報サーバー、基幹業務システム等)
- グループ対応(子会社のリスク評価・対応強化)
- グローバル対応(国内と海外拠点での情報セキュリティに対する考え方の違い)
- お客様に提供している情報システムのセキュリティ対応(IT企業として)
3.海外文献調査
米国、EU本部を中心とする、有価証券報告書等におけるサイバーセキュリティリスク開示に関する 法規等の有無の確認を目的とした文献調査(英文のみ)の主な結果は以下の通りだった。
・米国では、現在有効な法規として、1933年証券法及び1933年証券法に基づく連邦規則Regulation S-Kがある。サイバーセキュリティリスク開示に関するガイダンスとしては、米国証券取引委員会(SEC、
以下SECと称する)企業財務局(Division of Corporate Finance)から平成23(2011)年10月に発行され た「CF Disclosure Guidance: Topic No. 2 Cybersecurity」(以下、CFDG:Topic No.2と称する)があった(当 ガイダンスは法的拘束力を有していない)。
・CFDG:Topic No.2は、サイバーセキュリティリスクやサイバーインシデントについての開示義務に関す る、SEC内にある企業財務局(Division of Corporate Finance)の見解を示しており、SEC登録会社(上場 企業)が有するサイバーインシデントに関するリスクやこれに伴う事業への影響について、1933年証券 法の開示義務の枠内でどのように説明されるべきかという点をガイダンスにまとめたものである。登録 会社の個別の事実と状況に照らし、サイバーセキュリティについてどのような場合に何を開示すべきか を判断する助けとなる内容となっている。また、CFDG:Topic No.2によると、根拠法である1933年証券 法は、詳細な開示によって当該企業がサイバーセキュリティ上の危険に晒されるような場合にまで開示 を求めるものではない、ということを繰り返し強調している。
・米国SECは年次報告書として、米国企業にはForm 10-K、外国企業にはForm 20-Fというフォーマット での提出を求めている。Form 10-Kに記載すべきRisk Factors(リスク要因)については連邦規則である
Regulation S-Kに規定Item503(c)があり、どこの企業にもあてはまるような一般的な記述ではなく、当該
企業特有の内容について、具体的に分かり易く説明するよう明記されている。
・米国の重要インフラ産業(Critical Infrastructure)を代表する企業10社のForm 10-K Risk Factorsに おけるサイバーセキュリティリスクに関する具体的な記載内容について調査を行った結果、米国企業の
Form 10-K Risk Factorsにおけるサイバーセキュリティリスクに関する記載は、自社の潜在的なリスク
や想定される被害について詳しく述べられており、自社の被害事例も開示されている(現に攻撃の標的 となっているか、事業に重大な影響を及ぼしたケースの有無、主な対策等)ことが分かった。このことは、
Regulation S-K Item503(c)に規定されているためと思われるが、さらにCFDG: TopicNo.2によるサイバ ーセキュリティに関する開示ガイダンスが影響を与えている可能性が考えられる。
・欧州議会においては、平成26(2014)年3月12日に「EUデータ保護規則案」の修正案が可決されて おり、その中身はかなり具体的に上場企業のサイバーセキュリティリスク開示を求めるものも含まれて いるが、審議継続中の段階であるため、今後の経過が注目される。
・上記以外の欧州加盟国の一部、シンガポール、インド、オーストラリア、国際機関等の法規やガイドラ イン等も調査を行ったが、個人情報保護法制の整備やサイバーセキュリティ体制強化の取組はそれぞ れに活発なことが確認されたものの、上場企業のサイバーセキュリティリスク開示に関する特段の規則 等は今回の調査では見受けられなかった。
2. 本調査の目的及び内容 調査の目的
『サイバーセキュリティ2014』(2014 年7 月10 日 情報セキュリティ政策会議)において「金融庁に おいて、上場企業におけるサイバー攻撃によるインシデントの可能性等について、米国の証券取引委 員会(SEC)における取組等を参考にしつつ、事業等のリスクとして投資家に開示することの可能性を検 討し、結論を得る。その際、関連情報の共有等開示するインセンティブを促すための仕組みの在り方に ついても併せて検討し、結論を得る。」と記載されているように、サイバー攻撃等によるインシデントの可 能性等を有価証券報告書等でリスクとして開示することについて政府内で検討されているところである。
我が国では、有価証券報告書の「事業等のリスク」においてリスク開示が義務付けられているが、開 示する項目及び記述内容は具体的に提示されておらず、各企業の自主判断に任されている。有価証券 報告書等にサイバーセキュリティリスクを記載するかどうかは、企業としての重要性の認識を示す一つ の基準と考えられることから、まず上場企業225 社を対象に有価証券報告書へのサイバーセキュリティ リスクの記載状況を調査・分析する。次に、我が国で報告書等にサイバーセキュリティリスクを記載して いる企業へのヒアリング等を通じ、報告書等にサイバー攻撃等のサイバーセキュリティリスクの開示に より期待される効果について調査する。加えて、国際比較分析のため、米国を始めとする諸外国、国際 機関等における有価証券報告書等でのサイバーセキュリティリスクの開示に係る動向をまとめる。
調査の内容
1.有価証券報告書の調査
・有価証券報告書の「事業等のリスク」におけるサイバーセキュリティリスクに関する記載状況を 調査
・対象は平成26 年11 月1日現在の日経平均株価指数銘柄225社の平成21年度~平成25 年度とする
・記載状況を踏まえた傾向分析を実施(時系列的変化、業種別特徴、インシデント発生の影響等)
2.ヒアリング調査
・有価証券報告におけるサイバーセキュリティリスク開示に関する企業の意識、見直し状況等と サイバーセキュリティリスクの捉え方等についてのヒアリング調査
・ヒアリング調査結果を踏まえた傾向分析を実施(経営者の意識、開示理由、見直し状況等)
・調査対象企業は日経225社の中から業種のバランスを考慮し選定
・調査結果には企業名を含めず、機密情報はヒアリング調査の対象外とする
3.海外文献調査
・企業のサイバーセキュリティリスク開示に関する国際的及び各国等の取組状況を文献調査
・米国における監督省庁、関連機関等について、役割分担や関係性を整理
・米国企業における有価証券報告書上でのサイバーセキュリティリスク開示の取組状況を調査
3. 有価証券報告書の調査
有価証券報告書内「事業等のリスク」におけるサイバーセキュリティリスクの記載状況を調査した。な お、本調査で使用した有価証券報告書は金融庁主管のEDINET(金融商品取引法に基づく有価証券報 告書等の開示に関する電子開示システム)で提供されているものを使用した。
調査対象と方法
・調査は以下を対象として実施した。
i. 対象企業: 上場企業 225社(平成26 年11 月1日現在の日経平均株価指数銘柄)
ii. 対象期間: 平成21年度~平成25年度発行分(5年間、但し2社は平成22年以降)
iii. 対象資料: 有価証券報告書内 「事業等のリスク」
・調査は以下の手順で実施した。
i. 平成21年度から平成25年度の「事業等のリスク」のリスク項目の中でサイバー セキュリティリスクに関係するリスク項目を、リスク項目全体の中の掲載順位を 含めて特定
ii. サイバーセキュリティリスクに関係するリスク項目の記載文を抽出 iii. 前年度記載内容からの変更箇所の有無を特定
iv. 平成 25 年度について、情報資産、インシデント、一次被害、二次被害、情報セキュリティ 対策、インシデントの発生事例についての記載を特定
v. 開示状況の推移、業種別の開示状況、リスク記載内容の状況等について傾向分析を 実施
・なおサイバーセキュリティリスク記載の有無を判断する基準は以下の通りとした。
「事業等のリスク」のリスク各々の記載文で、以下の条件を満たすものを“サイバーセキュリティリス クを記載している”と判断した。
i. “サイバー攻撃”、“ハッキング”、“コンピューターウィルス感染”、“外部からの不正アクセ ス”等の“サイバーセキュリティインシデント”そのものを記載しているもの
ii. “予期せぬ事態”、“想定外の問題”、“万一の事件”、“何らかの理由”等により、重大なIT システム障害や情報漏えい等が発生するとの記載があるもの
iii. インシデントの具体的記載はないものの、結果的に重大なITシステム障害や情報漏えい 等が発生するとの記載があるもの
・本調査では、外部からの不正アクセス、サイバー攻撃等のサイバーセキュリティリスクを主眼とし、
情報システム自体の故障、ソフト・ハード自体の不具合、人為的ミス、ネットワークを介さない情報 漏えい、自然災害、テロ等によるインシデントは対象外とした。
調査結果
サイバーセキュリティリスク開示状況
(1)開示状況の推移
平成21年度から平成25年度の「事業等のリスク」におけるサイバーセキュリティリスクの開示状況 の推移は表3-1のようになった。
(表3-1)
*平成21年度の総企業数が223社なのは、平成25年度の日経225対象企業のうち2社はその 時点で日経225に組み入れられておらず、平成22年度から入ったためである。
・サイバーセキュリティリスクを開示している企業数は、平成21年度の52%(116社)から平成25
年度では60%(136社)に増加している。
(2)業種別の開示状況
平成25年度の開示状況別企業数を業種別にみると表3-2のようになった。
・業種(中分野)別の開示率を見ると、通信、銀行、その他金融、証券、保険、小売業、石油、造船、
その他製造、陸運、空運、倉庫、電力、ガスの14業種では100%(合計51社)となっており、食品は
91%(10社)、鉄道バスは88%(7社)、サービス及び商社は71%(双方とも5社)、電気機器は69%
(20社)と高くなっている。
・この5年間で新たに開示を開始した企業は毎年3社~6社増え、合計18社となった。複数社増えた 業種としては、電気、自動車、化学、機械、造船等があったが、業種別の特別な傾向はみられなか った。
・何らかの形で記載内容を変更している企業は39%(53社)あったが、業種でみると、通信、銀行、証 券、保険、小売業、その他製造、空運、倉庫等が多かった。なおこれらの企業の多くは、記載内容 が比較的詳細にわたっていた。
・サイバーセキュリティリスクの記載文が5年間同一の企業(65社)は業種を問わず存在し、その多く は、記載文が包括的かつ簡潔で意味が広くとらえられるものであった。これらは、経営陣や記載責 任者の基本的な記載方針に起因しているものと推察される。
注:( )内は対前年の増減
平成21年度 平成22年度 平成23年度 平成24年度 平成25年度 平成25年度 構成比
a)途中開示企業数 - 3(+3) 9(+6) 12(+3) 18(+6) 8.0%
b)5年開示・記載変更企業数 52 53(+1) 53 53 53 23.6%
c)5年開示・記載不変企業数 64 65(+1) 65 65 65 28.9%
d)開示無し企業数 107 104(-3) 98(-6) 95(-3) 89(-6) 39.6%
合 計 223 225 225 225 225 100.0%
サイバーセキュリティリスク
開示企業総数 (a+b+c) 116 120 126 130 136 60.4%
サイバーセキュリティリスク開示状況別企業数の推移
(表3-2)
大分野 社数 中分野 社数 a)途中
開示
b)5 年開示 記載変更
c )5 年開示 記載不変
d)5 年開示 なし
a)途中 開示
b)5 年開示 記載変更
c )5 年開示 記載不変
d)5 年開示 なし
A 技術 57 01 医薬品 8 0 0 2 6 0.0% 0.0% 25.0% 75.0% 2 25.0%
02 電気機器 29 3 7 10 9 10.3% 24.1% 34.5% 31.0% 20 69.0%
03 自動車 9 2 1 1 5 22.2% 11.1% 11.1% 55.6% 4 44.4%
04 精密機器 5 1 0 2 2 20.0% 0.0% 40.0% 40.0% 3 60.0%
05 通信 6 0 5 1 0 0.0% 8 3 .3 % 16.7% 0.0% 6 1 0 0 .0 %
B 金融 21 06 銀行 11 0 7 4 0 0.0% 63.6% 36.4% 0.0% 11 1 0 0 .0 %
07 その他金融 1 0 0 1 0 0.0% 0.0% 1 0 0 .0 % 0.0% 1 1 0 0 .0 %
08 証券 3 0 2 1 0 0.0% 66.7% 33.3% 0.0% 3 1 0 0 .0 %
09 保険 6 1 4 1 0 16.7% 66.7% 16.7% 0.0% 6 1 0 0 .0 %
C 消費 28 10 水産 2 0 0 1 1 0.0% 0.0% 50.0% 50.0% 1 50.0%
11 食品 11 1 2 7 1 9.1% 18.2% 63.6% 9.1% 10 9 0 .9 %
12 小売業 8 0 5 3 0 0.0% 62.5% 37.5% 0.0% 8 1 0 0 .0 %
13 サービス 7 0 4 1 2 0.0% 57.1% 14.3% 28.6% 5 71.4%
D 素材 64 14 鉱業 1 0 0 0 1 0.0% 0.0% 0.0% 1 0 0 .0 % 0 0.0%
15 繊維 5 0 0 0 5 0.0% 0.0% 0.0% 1 0 0 .0 % 0 0.0%
16 パルプ・紙 3 0 0 0 3 0.0% 0.0% 0.0% 1 0 0 .0 % 0 0.0%
17 化学 18 3 2 0 13 16.7% 11.1% 0.0% 72.2% 5 27.8%
18 石油 2 0 0 2 0 0.0% 0.0% 1 0 0 .0 % 0.0% 2 1 0 0 .0 %
19 ゴム 2 0 0 1 1 0.0% 0.0% 50.0% 50.0% 1 50.0%
20 窯業 9 1 2 0 6 11.1% 22.2% 0.0% 66.7% 3 33.3%
21 鉄鋼 5 0 0 0 5 0.0% 0.0% 0.0% 1 0 0 .0 % 0 0.0%
22 非鉄・金属 12 1 0 4 7 8.3% 0.0% 33.3% 58.3% 5 41.7%
23 商社 7 1 1 3 2 14.3% 14.3% 42.9% 28.6% 5 71.4%
E 資本財・その他 35 24 建設 8 0 1 3 4 0.0% 12.5% 37.5% 50.0% 4 50.0%
25 機械 16 2 1 5 8 12.5% 6.3% 31.3% 50.0% 8 50.0%
26 造船 2 2 0 0 0 1 0 0 .0 % 0.0% 0.0% 0.0% 2 1 0 0 .0 %
27 その他製造 3 0 2 1 0 0.0% 66.7% 33.3% 0.0% 3 1 0 0 .0 %
28 不動産 6 0 1 0 5 0.0% 16.7% 0.0% 8 3 .3 % 1 16.7%
F 運輸・公共 20 29 鉄道・バス 8 0 3 4 1 0.0% 37.5% 50.0% 12.5% 7 8 7 .5 %
30 陸運 2 0 0 2 0 0.0% 0.0% 1 0 0 .0 % 0.0% 2 1 0 0 .0 %
31 海運 3 0 0 1 2 0.0% 0.0% 33.3% 66.7% 1 33.3%
32 空運 1 0 1 0 0 0.0% 1 0 0 .0 % 0.0% 0.0% 1 1 0 0 .0 %
33 倉庫 1 0 1 0 0 0.0% 1 0 0 .0 % 0.0% 0.0% 1 1 0 0 .0 %
34 電力 3 0 1 2 0 0.0% 33.3% 66.7% 0.0% 3 1 0 0 .0 %
35 ガス 2 0 0 2 0 0.0% 0.0% 1 0 0 .0 % 0.0% 2 1 0 0 .0 %
合計 225 225 18 53 65 89 136
構成比 8% 24% 29% 40%
1 0 0 .0 %
8 5 .7 %
32.8%
51.4%
8 5 .0 % 業種別サイバーセキュリティ情報開示状況の分布
開示状況別社数 開示状況別 % 中分野別
開示率
( a + b + c )
61.4%
大分野別 開示率
( a + b + c )
業種 情報開示
企業総数
( a + b + c )
・5年間サイバーセキュリティリスクの開示が無い企業が、全体225社中の89社と40%を占め、特に 鉱業、繊維、パルプ・紙、鉄鋼の4業種(合計14社)では全く開示されていない。これらの開示され ていない企業では、リスクとして知的財産、薬の副作用、各種法規制、事故・災害、海外情勢変動 と言ったものが挙げられている。例えば、素材産業では開示割合が32.8%と相対的に低いが、この 理由として、原燃料価格の上昇、為替相場の変動、原材料供給の逼迫等がリスクとして記載されて おり、原材料費や為替の影響、海外情勢による原材料の輸入が困難になるリスクが高いのに対し、
工場関連のシステムが外部と接続していない等の理由からサイバーセキュリティリスク意識が低い ことや、顧客が消費者ではなく製品加工/製造業等の他産業であることが多いため個人情報漏え いのリスクを感じにくいといったことが考えられる。
(3)サイバーセキュリティインシデント発生のサイバーセキュリティリスク開示状況への影響
・社内におけるインシデント発生事実を記載している企業は4社と少なかった。その中の1社は、平成 22年度有価証券報告書の記載提出準備中に発生したサイバー攻撃によるシステム停止及び顧客 情報への不正アクセスについて直ちに記載し 、また規制当局による調査や法的措置の可能性を 追加記載している。また、1社は平成21年度以前のDoS攻撃発生事実を継続して記載しており、
2社は平成25年度に前年度以前に発生したインシデント(営業秘密の情報漏洩の疑い、システム への不正アクセス)を追加記載している。
平成25年度サイバーセキュリティリスク記載内容の状況
平成25年度にサイバーセキュリティリスクを開示している企業136社の記載内容(情報資産、
インシデント、被害、対策等)は以下の通りであった。
(1)サイバーセキュリティリスク記載内容 情報資産として使用されている用語
情報資産の記載の中で使われている用語として多いものを見ると、以下表3-3のようになった。
(表3-3)
・“顧客の個人情報”を挙げている企業が一番多く74社(54%)となっており、単に“個人情報”と記載 している企業が40社(29%)ある。
なお、上記以外に“取引先の個人情報”(22社)や“社内の個人情報”(15社)と記載している企業も あった。
顧客の個人情報 74 (54%) 社内の情報システム 53 (39%)
個人情報 40 (29%) 情報システム 40 (29%)
社内の機密情報 61 (45%)
機密情報 30 (22%)
情報資産として 使用されている用語
平成25年度 記載企業数 平成25年度
記載企業数(%)
情報資産として 使用されている用語
・機密情報としては“社内の機密情報”と記載している企業が多く61社(45%)、“顧客の機密情報”と 記載している企業が56社(41%)、単に“機密情報”と記載している企業が30社(22%)となってい る。なお、“取引先の機密情報”(22社)と記載している企業もあった。
・情報システムに対する認識も高く、“社内の情報システム”と記載している企業が53社(39%)、単に
“情報システム”と記載している企業が 40 社(29%)となっている。グループ内の他拠点システムや、
取引先・協力会社のシステムまで記載している企業もあった。
また、顧客に納品したシステムでの障害を意識している企業も1社あった。
記載されているサイバーセキュリティインシデント
記載されているサイバーセキュリティインシデントの中でも多いものを見ると以下表3-4のように なった。参考のために、平成21年度の記載企業数との差分を表した。
(表3-4)
・“コンピューターウィルス感染”を挙げている企業が69社(51%)と一番多く、“外部からの不正アクセ ス”が45社(33%)となっており、いずれも平成21年度より増加している。
・“サイバー攻撃”(サイバーテロ、クラッキング等も含む)と記載している企業は18社(13%)、“ハッキ ング”(ハッカーも含む)と記載している企業は17社(13%)あり、いずれも平成21年度に比べて ほぼ倍増している。
・明確にインシデントを記載していない企業も多く86社(63%)となっており、これらの企業では“予期 せぬ事態により”、“避けられない理由により”等の一般的な表現を使用している。
記載されている一次被害
サイバーセキュリティインシデント発生による一次被害の記載の中でも多いものを見ると 以下表3-5のようになった。参考のために、平成21年度の記載企業数との差分を表した。
(表3-5)
コンピューターウィルス感染 69 (51%) 52 17
外部からの不正アクセス 45 (33%) 34 11
サイバー攻撃 18 (13%) 7 11
ハッキング 17 (13%) 10 7
記載されている
サイバーセキュリティインシデント
平成25年度 記載企業数
平成21年度
記載企業数 差分
個人情報漏えい 113 (83%) 101 12
機密情報漏えい 105 (77%) 88 17
ITシステム障害 85 (63%) 62 23
インシデント発生による 一次的被害
平成25年度 記載企業数
平成21年度
記載企業数 差分
・“個人情報漏えい”を意識している企業が一番多く113社(83%)となっており、“機密情報 漏えい”が105社(77%)、その次がITシステム障害で85社(63%)となっている。
・平成21年度の記載企業数と比較するといずれの項目も増加しているが、特に“ITシステム 障害”の記載数増加率が大きい。
・上記以外では業務の混乱、提供サービス障害と記載されている企業があった。
・情報漏えいは記載していても、情報喪失、情報改ざんを記載している企業は少なかった。
記載されている二次被害
一次被害発生の結果もたらされる二次被害の記載の中で多いものを見ると以下表3-6のようにな った。
(表3-6)
・“業績への悪影響”を挙げている企業が一番多く113社(83%)、“社会的信用の低下”が80社
(59%)、“財務状況への悪影響”が73社(54%)、“訴訟提起/損害賠償請求”が60社(44%)と なっている。
・上記以外では“事業への悪影響”、“多額の費用発生(損賠賠償対応等)”、“ブランドイメージ毀損”
と記載されている企業(それぞれ30社前後)もあった。
記載されている情報セキュリティ対策
記載されている情報セキュリティ対策の中で多いものを見ると以下表3-7のようになった。
(表3-7)
・個人情報を含めた機密情報の“情報セキュリティ管理の体制整備/運用強化”が一番多く 67社(49%)となっている。それに続くのが“情報システムセキュリティ対策の強化”で
58社(43%)となっているが、その他に個別の“情報システム強化策(ファイヤーウオール設置、
ウィルス防御システムの導入等)”を単独で、あるいは併記している企業があった。
業績への悪影響 113 (83%) 財務状況への悪影響 73 (54%) 社会的信用の低下 80 (59%) 訴訟提起/損害賠償責任 60 (44%)
記載されている 二次被害
平成25年度 記載企業数(%)
記載されている 二次被害
平成25年度 記載企業数
情報セキュリティ管理の体制整備/運用強化 67 (49%) 情報セキュリティ方針、規定類の策定 29 (21%)
個人情報管理の体制整備/運用強化 21 (15%)
情報システムセキュリティ管理体制の強化 21 (15%) 情報システムセキュリティ対策の強化 58 (43%)
記載されている 情報セキュリティ対策
平成25年度 記載企業数(%)
・“情報セキュリティ方針、規定類の策定”が29社(21%)、“情報システムセキュリティ管理体制の 強化”及び“個人情報管理の体制整備/運用強化”を記載している企業がそれぞれ21社(15%)
あった。
・情報管理運用を内部監査で確認していると記載している企業が3社あった。
(2)サイバーセキュリティリスク開示情報量
・サイバーセキュリティリスクを開示している企業136社の平成25年度サイバーセキュリティリスク 記載内容の開示情報量(記載リスク項目数及び記載内容)を単純に比較してみると、以下のように 大きな違いがあった。
(a)最も少ない情報量の企業: 200語前後
(b)平均的情報量の企業: 500~1,000語
(c)多い企業: 2,500~5,000語
(c)の事例は、“通信”、“サービス”分野の一部企業で、サイバーセキュリティ関連リスクだけで 3ないし4項目記載されており、かつ開示情報量差が圧倒的に多かった。一般的には(b)の事例が 多かったが、5年間サイバーセキュリティリスクに関する記載内容に変更がない企業の情報量は、
(a)に近い場合が多かった。
4. ヒアリング調査 ヒアリング調査方法
「有価証券報告書等へのサイバーセキュリティリスク開示」に係るヒアリング調査を平成27年2月 中旬から3月中旬までの期間に21社の協力を得て訪問又は電話・メールにより実施した。21社の業種 は医薬品、電気機器、自動車、精密機器、通信、小売、サービス、化学、金属、商社、建設、鉄道、空運 の13業種であり、平成21年度から平成25年度の5年間におけるサイバーセキュリティリスクの有価証 券報告書での開示状況別の企業数は下記の通りとなっている。5年間とも開示がない企業をヒアリング 対象としたのは、開示していない企業の状況や認識を合わせて調査するためである。
平成21年度~平成25年度(5年間)におけるサイバーセキュリティリスク開示状況別の企業数
a) 5年間の途中から開示(途中開示) 4社 b) 5年間開示し記載内容を変更(5年開示・記載変更) 8社 c) 5年間開示し記載内容が不変(5年開示・記載不変) 4社 d) 5年間開示なし(5年開示無し) 5社 (合計)21社
ヒアリングは、サイバーセキュリティリスク開示そのものに関する点と、サイバーセキュリティ開示の前 提となる情報セキュリティマネジメント体制に関する点の合計10項目(下記)について実施した。なお、
質問が機微な情報に関連する可能性があるので、回答はあくまで機密情報を含まない内容のものとし、
回答の内容や詳細度についてはヒアリング先企業の判断に委ねた。
ヒアリングでの質問項目
□有価証券報告書へのサイバーセキュリティリスク開示について;
1. 有価証券報告書でのサイバーセキュリティリスク開示に至った理由・認識 2. サイバーセキュリティリスク開示により期待する効果(社外及び社内)
3. 他社のサイバーセキュリティリスク開示事例等の参照状況 4. 社内外のインシデントの発生等が記載状況に与えた影響
5. 毎期の情報セキュリティリスク記載状況の見直しに対する考え方、見直し体制 6. サイバーセキュリティリスク開示に関する課題・要望
□情報セキュリティマネジメントについて;
7. 情報セキュリティマネジメント体制の状況 8. 情報セキュリティリスクに対する捉え方 9. サイバーセキュリティ対策の現状
10. その他情報セキュリティマネジメントに関する課題・コメント
ヒアリング調査結果
以下にヒアリングでの質問10項目別に聴取した内容(例)を記載する。
1. 有価証券報告書でのサイバーセキュリティリスク開示に至った理由・認識
(1)開示に至った理由・認識
有価証券報告書にサイバーセキュリティリスクを開示した、又は開示内容を変更した、又は開示し ていない理由・認識についての回答(例)は5年間の開示状況別に以下の通りであった。
a) 5年間の途中から開示(途中開示)した理由・認識の回答(例)
・コンピューターウィルス感染が世界的に広まっていたため
・情報セキュリティに対する社会的認識の向上を考慮し、内容により具体性を持たせるため
・事業リスクを見直した際に、社内外での情報流出リスクやサイバー攻撃リスクの高まりを認識した ため
・有価証券報告書の作成要領を参照し、かつ世の中の状況を鑑みて、記載しないことのリスクがあ ると判断したため
b) 5年間開示し記載内容を変更(5年開示・記載変更)した理由・認識の回答(例)
・顧客個人情報とITシステムは事業の根幹にかかわっており、状況が変化しているため
・事業として情報セキュリティリスクは重大であり、開示内容・文言を定期的に見直しているため
・自社がサイバー攻撃を受けたため
・情報セキュリティリスクの増大を認識したため(外部専門家助言、他社記載参照等による)
・有価証券報告書作成要領を参照し記載変更の必要性を認識したため
c) 5年間開示し記載内容が不変(5年開示・記載不変)な理由・認識の回答(例)
・以前から事業の特性上、情報の流出、漏えいリスクが大きいと考え開示している
・コンピューターウィルスリスクの記載は平成18年度に当時の状況を鑑みて始めている
・基本的な内容は維持しつつ毎年の見直しの中で時々変えてきたが、ここ5年は結果として変えて いない
・情報漏えいの原因はいろいろあるので特には記載せず、何等かの原因(サイバー攻撃を含む)に より、結果として個人情報、機密情報が漏えいするリスクがあることを説明している
d) 5年間開示なし(5年開示なし)の理由・認識の回答(例)
・個人情報漏えいリスクとして、主に社内や委託先でのミス、事故等を想定しており、一般的に当社 の業界ではサイバーセキュリティをあまり重要視していないと思う
・個人情報のリスク認識は個人情報保護法の制定を受けたもので、記載内容は当時から変えてい ない
・ITシステム障害のみを記載しているが、これは主に故障とか破損を想定しているため
・有価証券報告書の開示要件としてサイバーセキュリティリスクの記載は必須ではなく、また指針も 特にないため記載をしていない(但し、CSR レポートでサイバー攻撃のリスクや対策例を記載し ており企業としては積極的に情報開示している)
・平成 26 年度有価証券報告書からサイバーセキュリティリスクを開示することにしたが、それはグ ループとして個人情報漏えいリスクが大きいことを認識したこと、大規模個人情報漏えい事件が あったこと、他社の有価証券報告書を参考にしたことによる
(2)サイバーセキュリティリスク開示に関する基本的な考え方
有価証券報告書でのサイバーセキュリティリスク開示の理由等を聴取する中で、「事業等のリス ク」での開示に関する基本的な考え方として以下のコメントがあった。
・有価証券報告書での開示の仕方には、広く普遍的に記載するという考え方と、一度起きた事は再度 起きる可能性があるとの認識で具体的に記載するという考え方があるが、当社は両方の考え方を 取っている。
・有価証券報告書での開示文章はあえて簡潔かつ広く解釈できる記述にしている、他方 CSR 報告書 では情報セキュリティへの取組や施策を具体的に公表している。
・サイバーセキュリティについては、リスク開示すると愉快犯が増えるリスクも高まるのであまり具体的 に記載しない方針をとっている。
・ハッカー等を刺激するような記述は避けており、地震対策等とハッカー対策とは書き振りを意図して 変えている。
・有価証券報告書の開示要件としてサイバーセキュリティリスクの記載は必須ではなく、また指針も特 にないため記載をしていない。
(3)トップのサイバーセキュリティリスク認識
サイバーセキュリティリスク開示の理由・認識を聴取する中で、トップの認識に関して以下のコメント があった。
・経営陣は社外取締役を含め、サイバーセキュリティも含めた情報セキュリティに対する意識が非常 に高く、全社的なセキュリティ強化推進の指示を受けている。
・社長は情報流出を起こした組織に在籍したことがあるため、情報セキュリティに対する認識は非常 に高く、情報システムのセキュリティ対策への投資を優先的に承認している。
・昔は役員の機密情報認識が低かったが、継続的に情報セキュリティの脅威や他社の対応状況等を 報告することでその必要性を理解していただき、今や情報セキュリティマネジメントや個人情報保護 についての企業トップ及び経営陣の認識は非常に高い。
2. サイバーセキュリティリスク開示により期待する効果(社外及び社内)
(1)開示の期待効果(直接的な目的)
有価証券報告書でのサイバーセキュリティリスク開示の期待効果に対する回答は、基本的に下記 の2点であった。
・株主・投資家に対する責務として投資判断のために適切な情報を提供すること
・万が一事故があった場合に備え、訴訟リスク等を意識して開示すること(免責事項とする)
これらは有価証券報告書での開示目的そのものと言えるが、さらに言えばということで下記を期待 するというコメントがあった。
・株主からの信頼獲得につながる
・隠し事をしないというスタンスや公明正大に事業を行っていることをアピール
(2)開示の付随効果
開示の直接的な目的以外の付随する効果として下記の回答(例)があった。
・開示することでリスクの棚卸にもなる
・役員への経営リスクヒアリング及び部門リスクアセス結果や内部統制活動についての取締役会等 への報告により、経営層の意識が大きく変化した
・ERM(統合リスク管理)を導入し、各事業部のリスク担当者に事業等のリスクの見直しをさせている ので、これらのリスク担当者のリスク認識が高まっている
・有価証券報告書やサステナビリティレポートによる開示に関連した活動により、関係する社員の意 識は変化している
・お客様や投資家からの問い合わせを受けた担当者の顧客情報を取り扱う意識が高まっている
(3)有価証券報告書以外での開示
サイバーセキュリティリスクのステークホルダーへの開示という観点からは、有価証券報告書以外 に下記の方法の回答(例)があった。
・ステークホルダーへの開示の為には有価証券報告書ではなくCSR報告書に記載している
・有価証券報告書ではバランスを考えて包括的な表現にしているが、全ステークホルダー向けとして は、CSRレポートや、アニュアルレポートで積極的に関連情報を開示している
・経営リスクと対策の概要は有価証券報告書に記載し、より詳細についてはサステナビリティレポート に記載している
・サステナビリティレポートの中で情報セキュリティの取組みを記述しており、主な内容はホームペー ジでも公開している
・社内外のステークホルダー向けに情報セキュリティ報告書を発行している
・全社員、派遣社員、協力企業従業員、海外に対して情報セキュリティハンドブックを配布し、情報セ キュリティ研修を毎年実施している
・社内向けには情報セキュリティ教育を徹底している
・インシデント発生時に社内向けに関連情報を適宜発信している
・四半期に一回、情報セキュリティニュースをグループ内に発信している
3. 他社のサイバーセキュリティリスク開示事例等の参照状況
他社開示事例を参照している企業が比較的多かった(特に同業他社)が、参照している、または 参照していない理由(例)は以下の通りであった。
①参照している企業の回答(例)
・同業他社の開示事例を参考にしている
・同業他社の書きぶりや、記載のレベル感を参考にしている
・同業他社のみならず他業種も参照している
・海外の同業他社も参考にしている
・米国企業のForm 10-Kにおけるサイバーセキュリティリスク開示文章を参考にした
・米国企業は細かく脅威や被害を記述しているが、日本ではそこまで必要ないと思っている
②参照していない企業の回答(例)
・他社の有価証券報告書の事業等のリスクを参照することは特にない
・事業等のリスクの記載全般については時々あるが情報セキュリティに関しては見ていない
・折に触れて参照することがある程度
4. 社内外のインシデントの発生等が記載状況に与えた影響
社内外のインシデントの発生等が記載状況に与えた影響の例は概ね以下のとおりであった。
・社内のインシデント発生は大いに影響する
・同業他社でのインシデント発生事例や、社会的認識度合いの高いインシデントの発生事例は参考 にしている
・社外のインシデントは内容による(情報セキュリティ部門が判断)
・大きなインシデントが発生したら考えるが、今までは結果的に記載変更はなかった
・昨年の大規模個人情報漏えい事件に関心を抱いており、今期の報告書作成に影響あり
5. 毎期の情報セキュリティリスク記載状況の見直しに対する考え方、見直し体制
毎期の情報セキュリティリスク記載状況の見直しに対する考え方、見直し体制に関する回答は、概ね 下記の 3 種類に分類された。①と②は企業組織(部門)の役割・責任分担の中で見直す仕組みであり、
③は特別に設置した全社的な(又はグループ横断の)委員会を中心とする仕組みである。
毎期の情報セキュリティリスク記載状況の見直し体制
①有価証券報告書担当部門が関係部門と協議の上とりまとめ
②リスクマネジメント部門のリスク見直しを反映
③リスクマネジメント委員会での検討結果を反映
これら3種類の仕組み別の回答(例)は以下の通りであった。
①有価証券報告書担当部門が関係部門と協議の上とりまとめ
・有価証券報告書担当部門がとりまとめており、毎年、関係部門(含む情報システム、機密情報担 当部門)に新たに発生している脅威等が記載内容に含まれるかどうかを確認
・各部門に事業等のリスクの記載文書担当者がおり、文書の改訂要否を判断して文案を作成し、
検討委員会にて検討し決定
・関係部署が協議し、統合リスクマネジメント部長の確認を得た上で開示委員会にて承認
・リスクマネジメント委員会の活動状況、社内外のインシデント発生の状況、他社開示事例等を参 考に、有価証券報告書担当部門が毎期内容を見直し、改訂の必要性を判断。文案(変更なしも 含めて)を関係部門に確認してもらい、結果を担当取締役に報告
②リスクマネジメント部門のリスク見直しを反映
・リスクマネジメント部門が記載内容を見直し、原案を作成のうえ、関連部署と調整のうえ、採否を 検討し、文言調整を実施
・リスクマネジメント部門が毎年経営リスクを見直し、経営トップに報告し経営会議で承認。その結 果に基づき必要に応じて関係部門が記載内容を見直し、最終的には有価証券報告書(事業等リ スク)担当部門が決定
・リスクマネジメント部門が全社のリスク管理をしており、社内で発生したインシデントも把握してい る。開示内容や見直しはリスクマネジメント部門を所管する役員の責任で判断し、トップ、経営会 議が承認
③リスクマネジメント委員会での検討結果を反映
・リスクマネジメント委員会で全社的リスクを検討しており、その下部に情報セキュリティ部会を設置 している。リスクマネジメント委員会や情報セキュリティ部会での検討結果により見直しを実施
・毎年、リスク管理委員会で全社的なリスクを検討し、重点リスク管理項目を決定している。その結 果を有価証券報告書やCSR報告書等に反映
