株式会社百年創造
代表取締役 横塚 仁士
横塚 仁士 : 日本経済新聞社などで記者として活動した後、大和総研にてシンクタンク研究員として調査・研究に従事し、企業や社会課題の解決に関する知見を蓄積。その後はみずほ銀行、三菱UFJリサーチ&コンサルティングなどで、ガバナンス・リスク・コンプライアンス(GRC)、クロスボーダーM&A、ESG・サステナビリティ、DXなど幅広いテーマで企業を支援。農業系ベンチャー企業では新規事業開発や地方創生案件を担当。2025年6月、「100年続く仕組みを創る」をビジョンに株式会社百年創造を設立。
サイバー攻撃は、いまや日本企業にとって現実的かつ深刻な経営上のリスクとなっている。2024年6月に発生した株式会社ドワンゴが運営する動画共有サービス「ニコニコ」に対するランサムウェア攻撃では、複数のサービスが長期間にわたり停止した(ドワンゴのリリースはこちら)。本件は単なるシステム障害にとどまらず、事業継続や顧客との信頼関係にも影響を及ぼしかねない事象となった。
ランサムウェア : システムへのアクセス等を制限する不正プログラムで、システムの利用者に制限解除のための身代金を要求することを目的とする。感染ルートとしては、メールの添付ファイルを不用意にクリックしてしまったケースや、改ざんされたサイトに誤ってアクセスし、意図せずしてプログラムをダウンロードしてしまったケースなどがある。
帝国データバンクが実施した「サイバー攻撃に関する実態調査(2025年)」 では、有効回答企業(10,645社)のうち 32.0% が「過去にサイバー攻撃を受けた経験がある」としており、規模、業種、地域を問わず日本企業の多くがサイバー攻撃に直面している現状が明らかになっている。
これらの事実は、サイバーセキュリティがもはや「情報システム部門に任せるべき課題」ではなく、取締役会レベルで議論すべき経営上の重要課題になりつつあることを示している。
サイバーセキュリティ : サイバーセキュリティに関する国際規格であるISO/IEC 27032:2012によると、サイバー空間における資産の機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)(略してCIA)を確保するための保護活動とされる。
企業におけるサイバーリスクの高まりを受け、政府はガイドラインや調査報告を相次いで発表し、企業に対応を促している。経済産業省と独立行政法人情報処理推進機構(IPA)が2023年に公表した「サイバーセキュリティ経営ガイドラインVer.3.0」では、経営者が認識すべき三原則として以下を挙げている。
サイバーリスク : サイバー攻撃、システム障害等に起因して、情報資産の喪失、サービス停止、金銭的損失、信用失墜等をもたらす可能性のこと。
1.経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
2.サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
3.平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
|
また、金融庁が2024年10月に公表した「金融分野におけるサイバーセキュリティに関するガイドライン」は、金融機関に対して、取締役会等がサイバーセキュリティリスクを組織全体のリスク管理の一部としてとらえ、サイバーセキュリティ管理の基本方針を策定し、必要な管理態勢を整備することを推奨している。詳細は下表のとおり。金融機関のみならず、事業会社においても参考になろう。
| 基本的な対応事項 |
取締役会等は、サイバーセキュリティリスクを組織全体のリスク管理の一部としてとらえ、サイバーセキュリティ管理の基本方針を策定すること。サイバーセキュリティ管理の基本方針には、例えば、以下の事項を記載すること。
・ セキュリティ対策の目的や方向性
・ 関係主体等(顧客、地域社会、株主、当局等)からの要求事項への対応及び法規制等への対応
・ 経営陣によるコミットメント
|
|
取締役会等は、サイバー攻撃が高度化・巧妙化していることを踏まえ、組織の経営目標にとってのサイバーセキュリティの確保の重要性を認識し、関係主体等からの要求事項や、法規制等の内外環境を踏まえ、必要なサイバーセキュリティ管理態勢を整備すること。また、サイバーセキュリティ管理態勢について少なくとも1年に1回レビューを行うなどにより、十分な検証、議論を行うこと(必要に応じ、外部専門家によるレビューを含む)。
|
| 対応が望ましい事項 |
取締役会等は、サイバーセキュリティリスクを統合的リスク管理の一部として位置づけ、リスク選好度(リスクアペタイト)、リスク耐性度(リスクトレランス)を設定すること
|
| 管理・監査部門との連携 |
リスク管理部門は、サイバーセキュリティ管理の実施状況について、リスク管理担当役員(CRO等)及び取締役会等に報告すること。
|
| 内部監査部門は、内部監査で指摘した重要な事項について遅滞なく代表取締役及び取締役会等に報告するとともに、指摘事項の改善状況を的確に把握すること。 |
ここで重要なのは、いずれのガイドラインもサイバーセキュリティを単に情報システム部門の管理事項とするのではなく、取締役会でも定期的に議題化することで、経営課題として扱うことを求めているということだ。
さらに海外の動向を見ると、米国証券取引委員会(SEC)の開示規則「Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure」(2023年施行)は、重大インシデントを「重大性を判断した日から4営業日以内」に開示することを義務付けている。また、欧州では、2016年に成立した欧州のNIS指令(Network and Information Security Directive) の改訂版であるNIS2指令(2024年施行)により、経営層が法的に説明責任を負うとともに、サプライチェーン全体に対するリスク管理が義務付けられた。これらのルールは欧米企業のみが対象となるわけではない。米国市場に上場する日本企業にはSEC規則が適用され、欧州に子会社や販売拠点を持つ日本企業はNIS2の規制を受ける。さらに、投資家や取引先の中には、国際的な規制の遵守を投資や取引のベンチマークとしているケースもある。「国際基準を満たしていない企業=投資家からの信頼を失う企業」 という印象を与える恐れがあるので注意が必要だ。
NIS指令 : 欧州連合(EU)が2016年に施行したサイバーセキュリティに関する初の包括的な法令。EU域内のネットワークおよび情報システムのセキュリティ水準を向上させることを目的としている。
NIS2指令 : 2016年に成立した NIS指令(Network and Information Security Directive) の改訂版で、EU全域でサイバーセキュリティの基準を大幅に強化する法律である。
【後編】に続く
Facebook公式ページ
Twitter公式ページ