日本IT団体連盟(IT連)は2021年11月30日、日経500種平均構成銘柄の企業を対象に、サイバーセキュリティーへの取り組み姿勢と情報開示に関して調査した「サイバーインデックス企業調査2021」の結果を公表した。
同調査はサプライチェーン(供給網)全体でセキュリティーレベルを向上させることを目的として、2020年から実施している。大企業のセキュリティーに関する取り組みを評価することで、サプライチェーンの中にいる中小企業の取り組みも促す狙いがある。2021年から一定水準以上を満たした企業に対して「特に優良であり他の模範となる」(IT連)として星を付与する「格付け」を開始した。星の獲得を辞退した企業も複数あったが、ANAホールディングス、JFEホールディングスなど42社が星を獲得した。
DXとESG投資が情報開示を後押し
東証1部上場企業の有価証券報告書(有報)を調査したところ、「システムリスク」や「サイバー攻撃」などセキュリティーに関するリスク事項を公開する企業は2021年調査で81%と、2019年調査の58%から大幅に増えた。「上場企業にとって有報などでサイバーセキュリティーに関する情報を開示するのは当たり前になってきた」(調査に当たった上杉謙二企業評価分科会主任調査官)。
IT連の丸山満彦企業評価分科会主査は、セキュリティー情報の開示が進む背景に2つの動きがあるとみる。「企業のDX(デジタルトランスフォーメーション)と、投資家がESG(環境・社会・企業統治)情報開示を求める動きが加速していること」(同)だ。DXにはサイバーセキュリティーの強化を両輪で進める必要があることに加え、どのようなセキュリティー体制を構築しているかは、企業がESGのうち社会や企業統治の課題にいかに向き合っているかを示す重要な指標だと考える投資家が増えているという。
上杉主任調査官によると、「星を獲得したようなセキュリティー情報開示に積極的な企業は、経営者やCISO(最高情報セキュリティー責任者)の考え方、セキュリティー体制やガバナンスのあり方を公開している」。セキュリティーに関する情報開示には「攻撃者から狙われやすくなるのではないか」という懸念がつきまとうが、技術情報ではなく経営におけるセキュリティーの位置付けや体制であれば「開示したからといって攻撃者に狙われやすくなるといったことはない」(同)。
