今回は、政府が策定中の「サイバーセキュリティ対策情報開示の手引き(案)」を取り上げます。

「サイバーセキュリティ対策情報開示の手引き(以下:情報開示の手引き)」とは、企業が行うサイバーセキュリティ対策について、利用者や取引先などに情報開示する方法を示すものです。2017年から総務省の情報開示分室会で検討が重ねられた結果、現在は「案」としてまとめられ、策定の最終段階に入っています。

参考:総務省「サイバーセキュリティ対策情報開示の手引き(案)」

「情報開示の手引き」策定の背景

「情報開示の手引き」策定の背景にあるのが、個人情報を利用したサービスの増加による利用者の不安です。総務省が発表した、2017年度の情報通信白書では、「ビッグデータ利活用元年」として情報の蓄積により、その有効利用で利便性が高まることが予測されています。

参考:総務省「平成29年版情報通信白書」

参考:総務省「平成29年版情報通信白書のポイント」PDF

同白書では、利用者には情報提供をサービス便益享受のため、やむを得ないとする層がいる一方で、情報の流出・不正利用への警戒感の強い層が、多くいることが言及されています。そして見逃せないのが、実際に企業からの個人情報漏えい事件が、増加している事実です。

そのため、利用者が安心して情報提供するためには、企業のサイバーセキュリティ対策を情報開示する必要性が高まっています。

前述のとおり「情報開示の手引き」は、現在策定に向けての最終段階です。策定後の法的な拘束力はありません。しかし、この指針に沿って情報開示を行うことが、エビデンスを示すことになるので重要です。そこで、今の段階から準備を行い、策定後の「情報開示の手引き」をいち早く取り入れことが、競合との差別化につながります。

では、「情報開示の手引き」はどのような内容なのでしょうか。政府は、これまでもサイバーセキュリティに関する様々な指針を示していますが、本手引きの特筆すべきところは、情報開示の具体的な手段を提示している点です。

情報開示の手段

「情報開示の手引き」では、情報開示の6つの手段を提示しています。それぞれの手段は、法律や規則に基づいて行う「制度開示」と、それぞれの企業ごとの判断で行う「任意開示」の2種類に分類されます。

6つの手段のうちの5つは、サイバーセキュリティを単独で公表するのではなく、大きな項目の一部として、他の項目との関連性を示しながら公表する方法です。

1. 有価証券報告書【制度開示】

(有価証券の発行者である会社)

金融商品取引法に基づいて、有価証券の発行者である会社が、事業年度ごとに、以下の5項目を記載した報告書を内閣総理大臣に提出することが、義務付けられています

  1. (1) 商号
  2. (2) 属する企業集団
  3. (3) 経理の状況
  4. (4) その他事業の内容に関する重要な事項
  5. (5) その他の公益又は投資者保護のために必要かつ適当な事項

サイバーセキュリティは、上記(4)と(5)に該当します。

2. コーポレート・ガバナンス報告書【制度開示】

(新規上場を申請する会社)

有価証券上場規程に基づいて、新規上場申請者が提出する、コーポレート・ガバナンスに関する事項について記載した報告書です。また、上場後、その内容に変更があった場合は、遅滞なく変更後の報告書を提出することとされています。

報告書の内容は、コーポレート・ガバナンスに関する基本的な考え方及び資本構成、企業属性その他の基本情報等です。サイバーセキュリティは、「コーポレート・ガバナンスに関する基本的な考え方」や「その他の基本情報」に該当します。

3. CSR報告書/サステナビリティ報告書【任意開示】

CSR(企業の社会的責任)とは、企業は環境や社会問題などに対して倫理的な責任を果たすべきであるとする考え方です。CSR報告書は、この考え方に基づいて行う企業の社会的な取組をまとめた報告書です。

CSR報告書では、環境・労働・社会貢献などに関する情報や、事業活動に伴う環境負荷などが幅広く公表されるのが特徴です。そして、CSRを果たすことが、社会の持続可能性に役立つことから、サステナビリティ(持続可能性)報告書とも呼ばれています。

サイバーセキュリティは、企業の社会的取り組みを行う上で必要不可欠な、個人情報や機密情報の保持に重要な役割を果たします。

4. 統合報告書【任意開示】

2013年に国際統合報告評議会(IIRC)から公表された「国際統合報告フレームワーク」では、「統合報告」を「財務資本の提供者に対し、組織がどのように長期にわたり価値を創造するかを説明すること」と位置づけています。

日本では、「国際統合報告フレームワーク」を受け、「統合報告書」という名前の書類を活用して、財務情報と非財務情報を連動して開示するケースが増えつつあります。サイバーセキュリティは、総合報告書全般において、重要な位置付けにあると言えるでしょう。

5. アニュアルレポート【任意開示】

企業が、年度末に株主や投資家、金融機関、取引先などの関係先に配布する冊子です。経営内容についての総合的な情報を掲載しており、「年次報告書」とも呼ばれます。サイバーセキュリティは、アニュアルレポート全般において、重要な位置付けにあると言えるでしょう。

6.情報セキュリティ報告書【任意開示】

これまでの5つの方法と違い、サイバーセキュリティを中心に据えて、単独で公表する方法です。2007年に経済産業省が「情報セキュリティ報告書モデル」を公表しています。同モデルでは、企業の情報セキュリティの取組の中でも社会的関心の高いものについて情報開示することにより、企業の取組が顧客や投資家などのステークホルダーから適正に評価されることを目指しています。この報告書モデルの基本構成は、以下の7項目です。

  1. (1) 報告書の発行目的といった基礎情報
  2. (2) 経営者の情報セキュリティに関する考え方
  3. (3) 情報セキュリティガバナンス
  4. (4) 情報セキュリティ対策の計画・目標
  5. (5) 情報セキュリティ対策の実績・評価
  6. (6) 情報セキュリティに係る主要注力テーマ
  7. (7) (取得している場合の)第三者評価・認証等

重要性が高まるサイバーセキュリティとCSR

以上の情報開示における6つの方法のうち、「CSR報告書/サステナビリティ報告書」は、今後重要性が増していくことが予想されます。その背景にあるのが、企業の社会的責任に対する銀行や投資家の注目の高まりです。

今年9月に行われた国連総会では、気候変動をはじめとする社会問題の解決が、大きなテーマでした。そして、国連が世界中の銀行に対して、地球環境の改善に貢献する企業への積極的な融資を要請するなど、国際社会ではCSRが会社経営に大きな影響を及ぼすようになりつつあります。

日本においても、環境省が中心となって環境(Environment)、社会(Social)、企業統治(Governance)という非財務情報を考慮して行う投融資である「ESG金融」を推進する動きがあります。こうした動きからも、サイバーセキュリティ対策を行いながら、国連が示すSDGsをはじめとした社会問題の解決に貢献することが、CSRを果たして経営を安定させる上で重要です。

参考:環境省「ESG金融に関する環境省の施策について」PDF

参考:国連広報センター「SDGs(エス・ディー・ジーズ)とは?」

リーガルテック社の「フォレンジック技術」は、サイバーセキュリティとCSRをサポートします。

今回は、政府が策定中の「サイバーセキュリティ対策情報開示の手引き」を取り上げました。「情報開示の手引き」からも、サイバーセキュリティ対策を行いながらCSRを果たすことが、会社の価値を高める上で重要です。

しかし、サイバーセキュリティ対策には、多くの手間と時間がかかるのが現状です。そこでオススメなのが、リーガルテック社の「フォレンジック技術」です。リーガルテックの高速フォレンジックツール「AOS Fast Forensics」を使うことで、少ない時間と労力でサイバーセキュリティ対策ができます。

「AOS Fast Forensics」は、サイバーセキュリティ対策として、端末からのデータ流出防止に役立ちます。「AOS Fast Forensics」は、対象となるパソコンなどの端末にUSBメモリを挿入し、プログラムを実行するだけで、調査対象パソコンにインストールすることなく、素早いデータ収集が可能です。

そして取得したデータの分析もできるので、不正アクセスの早期発見も役立ちます。しかも、調査対象パソコンへのデータ改変を最小限に抑えられるので、業務への影響も少なく安心です。

社会問題の解決に貢献するためには、イノベーションが重要となります。そして、イノベーションを支える技術情報(機密情報)を守る上で、サイバーセキュリティは必要不可欠です。

しかし、そうした機密情報は「外部からの攻撃」だけでなく「内部不正」による脅威にもさらされています。その点でも、「AOS Fast Forensics」は、データ収集機能により「外部からの攻撃の防止」だけでなく、「内部不正防止」にも有効です。

定期的に「AOS Fast Forensics」よるデータ収集を行い、パソコンから外部へのデータ移動に対して「常に目が行き届く」体制を作ることが、内部不正を未然に防ぐためには、効果を発揮します。

USBメモリを挿入するだけ、高速フォレンジックツール「AOS Fast Forensics」

万一、内部不正が起きてしまった場合や疑われる場合には、その調査で企業内フォレンジック調査ルーム「AOS Forensics ルーム」が役立ちます。内部不正が起きてしまった場合、被害を最小限にするためには、時間との勝負です。

なぜなら、その原因究明と対策が遅れるほど機密情報は拡散して、被害が大きくなるからです。苦労の末に開発した革新技術が、競合の手に渡ってしまうと大きな痛手となります。

「AOS Forensics ルーム」とは、不正調査を行うことを目的として、組織のフォレンジック調査スタッフが作業を行うための専用ルームの構築支援サービスです。

リーガルテック社は、「AOS Forensics ルーム」の設立のためのコンサルティングからフォレンジックツールの選定、使い方のトレーニングまで、さらには、より高度なフォレンジック調査サービスを通じて、インハウス・フォレンジックルームの設置をサポートいたします。

企業内フォレンジック調査ルーム「AOS Forensics ルーム」