正解です。
東芝が2017年4月11日に財務局に提出した2017年3月期第3四半期の四半期報告書には、同社の監査人であるPwCあらた有限責任監査法人の四半期レビュー報告書が添付されています。PwCあらた有限責任監査法人は四半期レビューの結果「結論の表明の基礎となる証拠」を入手することができなかったとして、当該四半期レビュー報告書で結論を表明していません(結論不表明)。この件に関し「監査法人が否定的な結論を表明した」との報道をよく見かけますが、監査法人は結論を何ら表明していないことから、そのような報道は正確なものとは言えません。
こちらの記事で再確認!
2017/05/10 (新用語・難解用語)意見不表明(会員限定)
正解です。
議決権行使助言の準大手グラスルイスが2017年1月から適用している取締役の兼職数の基準(業務執行者による兼務は2社まで)の影響を受け、代表権のある会長の選任議案に反対する株主が増えることが予想されます(問題文は正しいです)。
こちらの記事で再確認!
2017/05/08 グラスルイス基準と代表取締役会長(会員限定)
不正解です。
議決権行使助言の準大手グラスルイスが2017年1月から適用している取締役の兼職数の基準(業務執行者による兼務は2社まで)の影響を受け、代表権のある会長の選任議案に反対する株主が増えることが予想されます(問題文は正しいです)。
こちらの記事で再確認!
2017/05/08 グラスルイス基準と代表取締役会長(会員限定)
退任した取締役が相談役や顧問に就任し”院政”をしくようなケースに対する批判が高まっています。政府が2017年6月にとりまとめる成長戦略には、相談役や顧問の報酬や勤務形態の任意開示を求めるとの方針が盛り込まれる予定です。一方で、相談役や顧問の経験や知見を経営に生かしたいと考える企業もあります。その場合、相談役や顧問の報酬についてはどのように考えるべきでしょうか。相談役や顧問の役割や勤務形態を踏まえ、考えてみてください。
このコンテンツは会員限定です。会員登録(有料)すると続きをお読みいただけます。
コーポレードガバナンスは何かの基準を満たせばそれで終わりというものではなく、常に現状を確認し、改善を進めていくことが求められます。これは、コーポレートガバナンス・コードへの対応を記載する「コーポレート・ガバナンスに関する報告書」(以下、コーポレートガバナンス報告書)についても同様です。
特に今年(2017年)の株主総会後に提出されるコーポレートガバナンス報告書については、投資家は昨年の報告書からどのようにガバナンス対応が改善点したのかに注目しています。2015年6月にコーポレートガバナンス・コードが導入されて以来、同コードに対応したコーポレートガバナンス報告書(「定時株主総会後遅滞なく」提出されるもの)の提出は今回で少なくとも3回目(3月決算会社の場合)となりますが、1回目の提出(2015年12月)から2回目の提出(2016年6月)までの期間がわずか半年しかなかったため、一部の企業、一部の項目を除いて大きな変化は見られませんでした。したがって、投資家は、3回目の提出となる今回こそが、改善点が明確になる初めての機会と捉えているのです。
以下、機関投資家である筆者の視点から、2017年6月総会後に提出するコーポレートガバナンス報告書を書くうえで意識して欲しい点をまとめてみます。
| 【本課題の主なポイント】 ○コーポレートガバナンス報告書の記載事項全体でコードへの対応を示す ○コンプライ開示において必要ならば開示11項目以外の原則も任意で記載する ○コンプライ/エクスプレインの根拠や改善の取り組みを定量的に説明する |
コーポレートガバナンス報告書の冒頭では、コーポレートガバナンス・コードのうち、実施(コンプライ)しない原則についての「エクスプレイン(実施しない理由)」と、政策保有に関する方針(原則1-4)、取締役会の実効性評価(補充原則4-11③)など11の開示原則の実施状況の記載が求められています。しかし、コード対応に関係する記載は、この冒頭部分だけにとどまりません。また、他の箇所における記載内容についても、各社におけるガバナンス改善への取り組みを踏まえて、継続的に見直す必要があります。
下表は、コーポレートガバナンス報告書の各項目とコーポレートガバナンス・コードの各原則の対応関係をまとめたものです。コーポレートガバナンス報告書を作成するうえで参考にしてみてください。
| Ⅰコーポレートガバナンスに関する基本的な考え方及び資本構成、企業属性その他の基本情報 | |
| 1.基本的な考え方 | 1-3、2-1、3-1(i) |
| 【コーポレートガバナンス・コードの各原則を実施しない理由】 | 全原則 |
| 【コーポレートガバナンス・コードの各原則に基づく開示】 | 全原則 |
| 2.資本構成 | |
| 【大株主の状況】 | |
| 3.企業属性 | |
| 4.支配株主との取引等を行う際における少数株主の保護の方策に関する指針 | 1-7 |
| 5.その他コーポレートガバナンスに重要な影響を与えうる特別な事情 | 5-1③ |
| Ⅱ経営上の意思決定、執行及び監督に係る経営管理組織その他のコーポレートガバナンス体制の状況 | |
| 1.機関構成・組織運営等に係る事項 | |
| 【取締役関係】 | 4-6、4-7、4-10、4-10① |
| 【監査役関係】 | 3-2、3-2①、4-4、4-4① |
| 【独立役員関係】 | 4-9、4-11② |
| 【インセンティブ関係】 | 4-2① |
| 【取締役報酬関係】 | |
| 【社外取締役(社外監査役)のサポート体制】 | 4-8①、4-8②、4-12、4-12①、4-13、4-13①、4-13②、4-13③、4-14① |
| 2.業務執行、監査・監督、指名、報酬決定等の機能に係る事項 | 1-1②、1-6、2-3①、3-1(iii)(iv)、3-2②、4-1、4-1①、4-1③、4-2、4-3、4-3①、4-3②、4-14② |
| 3.現状のコーポレートガバナンス体制を選択している理由 | 3-1(ii)、4-8、4-11、4-11①、4-11③ |
| Ⅲ株主その他の利害関係者に関する施策の実施状況 | |
| 1.株主総会の活性化及び議決権行使の円滑化に向けての取組み状況 | 1-1、1-1①、1-2、1-2①、1-2②、1-2③、1-2④、1-2⑤ |
| 2.IRに関する活動状況 | 3-1①、3-1②、4-1②、5-1、5-1①、5-1②、5-2 |
| 3.ステークホルダーの立場の尊重に係る取組み状況 | 2-2、2-2①、2-3、2-4、4-5 |
| Ⅳ内部統制システム等に関する事項 | |
| 1.内部統制システムに関する基本的な考え方及びその整備状況 | 2-5、2-5① |
| 2.反社会的勢力排除に向けた基本的な考え方及びその整備状況 | |
| Ⅴその他 | |
| 1.買収防衛策の導入の有無 | 1-5、1-5① |
| 2.その他コーポレートガバナンス体制等に関する事項 | 1-1③、1-4 |
上述のとおり、東証の上場規則上、コーポレートガバナンス報告書に記載が求められるのは、コンプライしない原則についての「エクスプレイン」と11の開示原則の実施状況であり、11原則以外のコンプライする原則については開示が義務付けられているわけではありません。しかし、開示が義務付けられていないがゆえに、コンプライの程度や真偽について疑念を持っている投資家がいるのも事実です。したがって、たとえコンプライした原則であっても、少なくとも定量的に内容を示すことができるものや実行の有無を簡単に示せるものについては、任意で開示の対象とすることも検討していただきたいところです。全ての原則について1つひとつ説明することまで求められるものではありませんが、なかにはそれを実行している企業もあります(大東建託、積水化学など)。
具体例を挙げてみましょう。コーポレートガバナンス・コードの補充原則1-1①では、「相当数の反対票が投じられた会社提案議案があったと認めるときは、反対の理由や反対票が多くなった原因の分析を行い、株主との対話その他の対応の要否について検討を行う」ことを求めています。総会決議議案への賛成率は臨時報告書において明らかにされることになっていますが、コーポレートガバナンス報告書にも記載があると、投資家にとっては便利です。例えば、社外取締役の選任議案への賛成率が低かった場合には、「昨年度の株主総会では、社外取締役である〇〇氏の出席率が60%だったところ、同氏の選任議案への賛成率が80%未満となったため、日程調整を行った結果、同氏の取締役会出席率は100%となり、今年度の賛成率は90%以上に改善した」など、数値とともに具体的な対応まで記載があると、本原則を具体的にどのようにコンプライしているのかが投資家に伝わります。また、そのような議案がない場合でも「全ての議案で95%以上であった」と数字で示してあげることで、同原則をコンプライする意思が投資家に伝わります。
また、前年度において英文での開示(補充原則3-1②)を見送った企業は3割程度ありましたが(2017年1月17日のニュース「CGコードの“フルコンプライ”企業の割合が頭打ちに」参照)、エクスプレインの説明において外国人株主比率を示さず、単に「外国人株主比率が低いため英文での開示を見送る。英文開示を行うかどうかは、外国人株主比率の推移を見て検討する」といった記載にとどまっているところが少なくありませんでした。今回も同じ理由で英文開示を見送るとしても、全く同じ文章が記載されているだけだと、端から英文開示をする気がないように見えてしまいます。できれば2016年と2017年の3月末時点(3月末決算会社の場合)における外国人株主比率を明記し、実際に比率を確認した上で判断したという証拠を示しておきたいところです。
このほか定量的に示すことができるものとしては、補充原則1-2②「招集通知の発送・WEB開示の時期」(日数)、原則1-3「資本政策の基本方針に基づいた資本政策の状況」(ROEの目標値と実績値(後述))などがあります。
次に、機関投資家の関心が高いと考えられる項目について見ていきましょう。
資本政策の基本的な方針(原則1-3)
資本政策の基本的な方針は引き続き株主が最も注目する事項の1つで、本来は投資家が考えるコーポレートファイナンス理論に基づいた説明をするのが望ましいところです。
昨年度の各社のコーポレートガバナンス報告書を見ると、いくつかの企業は任意で同原則の実施状況を記載していますが、投資家が満足する説明を行っている会社はほとんどありません。コーポレートファイナンス理論に基づいた説明とは、目標とするROEや格付けを達成するために適切な負債比率など「(中期的な戦略と整合性のとれた)あるべきバランスシート」(詳細は【2016年7月の課題】「目指すべきB/Sのイメージ」参照)、配当政策(中期的な成長率と適切なバランスシートの目標を考慮した配当性向、DOEなど)、それらを達成するための資本政策(中長期的な視点で、成長への投資と株主への分配をどのように考えて投資と株主還元のバランスをとるのか、また負債・株式のいずれにより資本調達を行うのかなど)の考え方を示すことです。
これらの考え方が経営陣にある場合にはそれを明記したうえで、その進捗状況を示すことができればベストです。例えば「当社は中期経営計画において、○年度にROE△%の達成、配当性向は□%とすることを目標としています。当年度のROEは▲%、配当性向は■%となりました」と記載されているだけでも、中計を意識してその達成に向けた最適な資本政策をとる意思があることが投資家に伝わります。
政策保有株式(原則1-4)
コーポレートガバナンス・コードは「毎年、取締役会で主要な政策保有についてそのリターンとリスクなどを踏まえた中長期的な経済合理性や将来の見通しを検証し、これを反映した保有のねらい・合理性について具体的な説明」を行っていることを求めています。政策保有株式は、従来から投資家の批判を浴びてきましたが、コーポレートガバナンス・コードで保有の経済合理性や保有や狙いの具体的な説明が求められたことを背景に、この1年で特に投資家の関心が高まった項目の1つです。
多くの企業では保有の大きな見直しには至っていませんが、一部銘柄を売却した企業や、保有の方針(例えば保有の具体的な目的を定め、各保有銘柄について社内格付けを行うなど)を明確に定めた企業もあります。見直しを行った企業はそのことを記載することが望ましいのですが、取引関係などから開示できないところも多いようです。そのような場合でも、事業年度末時点における保有状況を確認し、その妥当性を判断した上で保有を継続したという書き方が望まれます。例えば、「当社はいわゆる政策保有株式として、昨年度末に10社の株式を合計××億円程度保有しておりました。取締役会において保有の妥当性を検討した結果、このうち8社の株式については保有継続が妥当と判断し、当年度末時点においても合計××億円程度の保有を継続しております」と書いておけば、毎年保有の妥当性を判断していることが投資家に伝わります。
取締役会の実効性評価(補充原則4-11③)
補充原則4-11③では、取締役会全体の実効性について分析・評価を行い、その結果の概要を開示することを求めています。ただ、昨年の段階では、多くの企業が取締役会の実効性を改善するための「課題」を明らかにしたに過ぎません。今年度の開示で投資家を納得させるには、昨年公表した評価結果(課題)を踏まえて、どのように取締役会の改善を図ったかについての説明が求められます。実際のところ昨年においては、多くの企業にとって取締役会評価を行うこと自体が初めてであり、正式には評価を実施していなかったケースも少なくなかったものと思われます。機関投資家もこのような実態を踏まえ、あえてその内容について厳しい評価はして来ませんでした。しかしながら、既にコード導入から2年が経過しているわけですから、今回はその間にどのような取り組み、あるいは準備を行ったかについて説明することが望ましいと言えます。
取り組みが進んだ実例として、取締役会の実効性に関する(取締役や監査役等への)アンケート結果を踏まえ、取締役会のメンバー構成を変えた企業も出てきています。もちろん、企業はあるべき取締役会の構成を考えて毎年取締役を任命しているはずですが、「取締役会の実効性評価を踏まえている」という形をとることで、“お手盛り”や“自己満足”ではなく「正当な手続き」に基づきあるべき人選を行っているということを示しやすいと言えます。取締役会評価が既に一般的となっている欧米企業では、前年度の取締役会評価で出た課題を踏まえ、新任取締役の選定理由などを説明しています。例えば、「取締役会のダイバーシティを高めることの必要性が指摘されたことから、新たな社外取締役として、女性の○○さんを任命した」といった形です。
グラスルイスの2017年度議決権行使助言方針では、独立役員の人数基準の厳格化、役員の兼職規制強化、さらに指名委員会及び報酬委員会の委員長を独立取締役に限定するなど、従来の方針からの変更が見られます。取締役会のあり方に対する投資家の目は今後も益々厳しくなることが予想される中、自社の取り組みに対して投資家からの理解を得られるようにするためには、アンケート結果を踏まえて(Check)、改善点と目指すべき取締役会の方向性を共有し(Action、Plan)、これを実現していく(Do)という、取締役会評価のPDCAサイクルを確立し、それをコーポレートガバナンス報告書で開示していくべきでしょう。
役員報酬(原則3-1(ⅲ))
役員報酬に関する説明(業績連動部分をどのように設定するのか、など)においては、中長期での企業価値向上を何によって評価するのかという点について、各社の考え方の違いが最も表れることになります。投資家からすると、役員報酬が、①ビジネスモデル・戦略・ビジネス上のリスクを踏まえて設定されたKPIと、②目標とする財務的な経営成果、の2点で決定されていることが明確に示されているのが理想です。①としては、例えば市場環境の影響を受けやすい企業ならば、一時点での売上よりも業界シェアの方が適切な場合もありますし、研究開発型の企業であれば、研究開発の成果について具体的なマイルストーンを設定する場合もあります。②については、例えば、ROE、ROIC、営業利益などが挙げられるでしょう。そのうえで、毎年の成果についてインセンティブ関係や取締役報酬関係の記載欄(上の表参照)で説明するべきです。
役員報酬は従来からコーポレートガバナンス報告書で開示が求められる11原則のうちの一つですが(原則3-1ⅲ)、金額そのものや単なる決定方式のような形式的な開示にとどまるのではなく、そもそも現在の役員報酬の決定方法を設定した理由から説明することが必要となってくるでしょう。例えば、株式報酬型ストックオプションを導入する企業が増加していますが、単に導入したという事実だけではなく、導入の理由、それによって期待される効果なども合わせて説明するとよいと考えられます。
なお、欧米企業に比べ役員報酬水準が低い日本企業の場合、欧米企業のように役員報酬の絶対額自体が問題視されることはほとんどありません。投資家は、経営成果を上げるための適切なインセンティブがあるかということを問題にしているのです。
以上のとおり、コーポレートガバナンス報告書(コーポレートガバナンス・コード対応部分)は、方針の説明から、現状や進捗状況の説明が求められるステージへと移行します。投資家も単に「コンプライかエクスプレインか」を形式的に判断するではなく、「改善状況」を評価することになります。企業としては、投資家が適切かつ正当な評価を行えるよう、毎年の取り組みを適切に織り込んだ、分かりやすい開示を意識的に行うべきでしょう。
中国や東南アジアの子会社に役員や社員を出向させた場合、親会社(日本企業)が給与水準の・・・
このコンテンツは会員限定です。会員登録(有料)すると続きをお読みいただけます。
中国や東南アジアの子会社に役員や社員を出向させた場合、親会社(日本企業)が給与水準の格差を補てんすることが多い。この補てん金は「給与格差補てん金」と呼ばれるが、近年この給与格差補てん金に課税が行われるケースが急増している。
給与格差補てんは発展途上国に子会社を持つ日本企業では普通に見られる行為であり、税務上も、給与格差補てん金を(出向元である日本企業の)損金に算入することが認められている(法人税基本通達9-2-47)。ただし、無条件に損金算入が認められるのは、出向者と同等のスキル・キャリアを持つ人材の現地における給与相場を上回る部分と考えられている。例えば、同じスキル・キャリアを持った人材の日本での年収相場が1,000万円、現地での年収相場が500万円だとしよう。この場合、出向元である日本企業が500万円(1,000万円-500万円)を補てんすれば、その全額が損金に算入される。しかし、もし700万円負担すれば、現地の相場との差額である500万円を超える200万円は、税務当局により日本企業から海外子会社に対する「寄附金」と認定され、損金算入が制限(*)されるリスクが出てくる。
損金 : 法人税計算の基礎となる法人所得を減らす性質の支出等のこと。損金は企業会計上の費用とおおむね一致するが、役員賞与や固定資産の減損損失など「損金には該当しない費用」もある。
中国や東南アジアなどは長年安価な労働力を提供し続けてきたが、近年は経済発展に伴い給与水準が上がっている。これまで500万円だった給与相場が700万円に上がった場合、給与格差補てん金として合理的な金額は「300万円(1,000万円-700万円)」となる。それにもかかかわらず従来どおり500万円を補てんし続ければ、200万円が海外子会社への「寄附金」と認定される恐れがある。
こうした形で追徴課税を受けた場合、たとえ企業にそのつもりはなくても、新聞報道等では「東証一部上場の〇〇社が所得隠し」などと報じられることが多い。近年経済発展を続ける国に役員や社員を出向させている企業は、一度「給与格差補てん金」が適正な額となっているかどうか、チェックしておきたいところだ。
企業会計基準委員会(ASBJ)は2017年6月を目途に「収益認識に関する包括的な会計基準」の公開草案を公表する予定です(2017年5月19日のニュース「収益認識会計は単体も連結と同じ基準に 事業計画見直しも」を参照)。まだ公開草案に過ぎず、適用も原則として2021年4月1日以後開始する事業年度からと、だいぶ先の話ですが、自社への影響の有無を早期に見定めておくべきです(なお、早期適用は2018年1月1日以後開始する事業年度から可能)。
「収益認識に関する包括的な会計基準」の公開草案では、「商品又は製品の支配が顧客に移転された時(支配の移転)」に収益を認識するとされています。支配の移転は着荷時や検収時に起こったものと認定されやすいことから、「収益認識に関する包括的な会計基準」の適用後は、収益認識基準は着荷基準や検収基準が原則となり、出荷基準は認められなくなるようにも思えますが、実際のところはそうではありません。公開草案では出荷基準について次のように記載される見込みです(線で消された箇所は公開草案のドラフトにおいて記載されていたものの、検討の途中で削除された字句)。
| 商品又は製品の国内の販売において、出荷時から当該商品又は製品の支配が顧客に移転された時(支配の移転に関する定め及び指標を考慮して決定される時点、例えば顧客による検収時)までの期間が通常の期間である場合には、出荷時から当該商品又は製品の支配が顧客に移転された時までの間の一時点(例えば、出荷時や着荷時)に収益を認識することができる。 商品又は製品の出荷時から当該商品又は製品の支配が顧客に移転された時までの期間が通常の期間である場合とは、当該期間が国内における出荷及び配送に要する日数に照らして取引慣行ごとに合理的と考えられる日数である場合 |
すなわち「収益認識に関する包括的な会計基準」(公開草案)では、出荷基準が完全に否定されたわけではありません。「商品又は製品の出荷時から当該商品又は製品の支配が顧客に移転された時までの期間が通常の期間である場合」に該当すれば出荷基準により収益を認識してもOKということになります。なお、上記のとおり、公開草案のドラフトには当初「一週間以内」という数値基準が明示されていましたが、公開草案の検討にあたり削除されました。とはいえ、「結論の背景」には「国内における配送を前提とした場合、数日程度の取引」と記載されており、仮に検収基準を採用しても数日しか変わりがないのであれば、重要性の観点から(すなわち、重要性が低いことから)出荷基準を採用し続けることはできます。
上場会社は、製品やサービスの種類に応じて、自社にとってもっとも合理的な収益認識基準が何なのかを検討し、適用する必要があります。製品やサービスの種類に応じて異なる収益認識基準を採用した結果、社内で複数の収益認識基準が併存することになりますが、それぞれが合理的なものであれば、何ら問題はありません。
さて、以上の解説をご覧いただければ、どれがGOOD発言か、もうお分かりですね。正解は以下のとおり。
取締役B:「この資料を見る限り、特注機械の出荷日と検収日のズレはせいぜい3営業日から4営業日に過ぎません。この程度のズレであれば売上の計上基準を出荷基準のままとすることも許容されるのではないでしょうか。」
(コメント:甲社の特注機械の出荷日と検収日のズレはせいぜい3営業日に過ぎないので、「収益認識に関する包括的な会計基準」(公開草案)が定める「商品又は製品の出荷時から当該商品又は製品の支配が顧客に移転された時までの期間が通常の期間である場合」に該当するといえ、出荷基準も許容されることになります。「許容」という言い回しはそのような事情を見越した発言であり、GOODです。)
東証一部に上場している機械製造業(売上のほとんどが国内売上)の甲社では、収益認識基準として製品の出荷時に売上を計上する出荷基準を採用している。甲社は、従来から汎用機械を製造・販売しているが、最近では特注機械の製造販売も始め、少しずつ売上高を伸ばしている。特注機械は、従来の汎用機械と異なり顧客が検収しない限り売掛金を支払ってくれないため、定例取締役会の報告資料では月末時点で特注機械の売上のうち未検収の分を一覧にして、取締役会で報告するようにしている。その資料を見た社外取締役から「特注機械の収益認識基準は検収基準にすべきではないか」といった疑問が投げかけられた。
この社外取締役の発言に対して取締役A・B・Cが下記の発言をしました。誰の発言がGood発言でしょうか?
取締役A:「取締役会において『月末時点における未検収の特注機械売上』の報告を受けることで、経営陣は未検収の売上の額を把握できているので、あえて収益認識基準を変更する必要はないと考えます。」
取締役B:「この資料を見る限り、特注機械の出荷日と検収日のズレはせいぜい3営業日から4営業日に過ぎません。この程度のズレであれば売上の計上基準を出荷基準のままとすることも許容されるのではないでしょうか。」
取締役C:「製品によって収益認識基準を異にするのは収益認識が恣意的になりかねないので、もし収益認識基準を変えるのであればすべての製品について出荷基準を検収基準に変えるべきです。」
このコンテンツは会員限定です。会員登録(有料)すると続きをお読みいただけます。
ぴあ株式会社(東証一部上場)が運営を受託しているB.LEAGUE(公益社団法人ジャパン・プロフェッショナル・バスケットボールリーグ)のファンクラブ受付サイトとチケットサイトのサーバーがサイバー攻撃による不正アクセスを受け、クレジットカード情報などの個人情報が外部に流出した。
ぴあが、2017年5月に「B.LEAGUE チケットサイト及びファンクラブ受付サイトにおける個人情報流出事案に関する、その後のお詫びとご報告」を公表するまでの経緯を時系列で示すと、次のとおり。
<2017年>
3月7日~15日:ぴあが運営しているB.LEAGUEのファンクラブ受付サイトとチケットサイトが不正アクセスを受け、個人情報が流出した。
3月17日:複数のB.LEAGUE会員のツイッターにクレジットカードの不正使用に関する書き込みがあったことから、ぴあは事実関係の確認を開始。
3月25日:ぴあは、B.LEAGUE関連のサイトから流出したと思われるクレジットカード番号が他のサイトで不正に使用されていた事実を複数確認したとして、同サイトのクレジットカード決済機能を停止。外部の専門調査会社に調査を依頼したところ、同サイトのサーバーがサイバー攻撃により不正アクセスを受け、サイト利用者のクレジットカード情報等が流出していた事実を認識した。
4月25日:ぴあは、「ぴあ社がプラットフォームを提供するB.LEAGUE チケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するお詫びとご報告」を公表。
5月10日:ぴあは、顧客対応費用や情報セキュリティ対応費用として216百万円を特別損失に計上する内容の決算短信を公表。
5月18日:ぴあは、経過報告として「B.LEAGUE チケットサイト及びファンクラブ受付サイトにおける個人情報流出事案に関する、その後のお詫びとご報告」を公表。
ぴあが公表した「個人情報流出に関するお詫びとご報告」等によると、本件の問題点の主な内容とその原因、再発防止策は次のとおりである。
不正アクセスによるクレジットカード情報等の流出と不正使用
| 内容 | ・ぴあが運営しているB.LEAGUEのファンクラブ受付サイトとチケットサイトが不正アクセスを受け、最大で約15万5千件の個人情報(うち、クレジットカード情報約3万2千件を含む)が外部に流出した。 ・流出したクレジットカード情報の一部が不正に使用され、約880万円(379件)の被害が生じた(5月8日現在の判明分)。 |
| 原因 | ・2017年3月に「Apache Struts2」を用いたサイトを狙った世界同時多発のサイバー攻撃があり、ぴあが運営を受託しているB.LEAGUE関連のサイトも「Apache Struts2」を用いて構築されていたため狙われた。 ・ぴあがサイト構築時に委託先に発注した仕様書やサイト運用時に用いているガイドラインによると、クレジットカード情報やメールアドレスなどの個人情報はサイト上に保持しない作りとなっていたが、ぴあはサイト検収時や運用時においてサイトの個人情報の保持の方法が発注したとおりとなっているかどうかの確認をしていなかった。実際には、委託先は仕様に沿ったサイトの構築・運用をしておらず、サイト上に個人情報が保持されており、サイバー攻撃を受けて個人情報が流出してしまった。 ・ぴあは自社が運営を受託しているサイトに個人情報が保持されているとの認識がなかったため、個人情報の流出に気が付かず、対応が後手に回ってしまった。 |
| 対応策 | (サーバー関連の対応策) ・サイバー攻撃に対する防御措置としてWAFを導入する。 ・B.LEAGUE関連サイトにおけるクレジットカード決済サービスについて、「クレジットカード情報の非保持、非処理、非通過化」と「決済代行会社による処理方式への切り替え」を進める(再開時期は未定)。 WAF : Web Application Firewallの略。Webアプリケーションに特化したファイアウォールで、Webアプリケーションに脆弱性(欠陥)があってもサイバー攻撃をかわすことができ、脆弱性への対策遅れをカバーする役割を果たす。 (クレジットカード情報が流出した顧客への対応) (その他) |
今回のサイバー攻撃の対象となったApache Struts2は、米国のApacheソフトウェア財団が開発したオープンソースのWebアプリケーションフレームワークで、Java言語を利用して多機能のサイトを容易かつ安価に構築することができることからWebアプリケーションの開発に広く用いられています。Apache Struts2は、それを利用しているWebアプリケーションが多数ある(サイバー攻撃主体から見て攻撃対象が豊富)だけでなく、Apache Struts2を利用していることがURLから容易に推測できる(サイバー攻撃主体から見て攻撃対象の選別が容易)ことから、サイバー攻撃の対象になりやすいフレームワークです。今年(2017年)の3月に起きたApache Struts2を狙った大規模なサイバー攻撃の際には、ぴあだけでなくGMOペイメントゲートウェイ(東証第一部)が運営するサイトや日本郵便が運営するサイトなどApache Struts2を利用していたサイトが一斉に攻撃を受け、クレジットカード情報やメールアドレス情報を不正に抜き取られるなど、被害が広範に及びました。
オープンソース : ソースコードが公開され、自由に利用できるプログラムのこと。
Webアプリケーションフレームワーク : Webアプリケーション(Web上で動くアプリケーション(ソフト))を開発するための枠組みやライブラリ(部品のサンプル)の総称。Webアプリケーションフレームワークには、アプリケーションで必要になる機能がライブラリとして事前に準備されていることから、フレームワークの所定の枠組みに則りいくつかのライブラリを組み合わせることで、Webアプリケーションの構築に際して効率よくコーディング(プログラミング)できる。
Apache Struts2は脆弱性が繰り返し発見されており、それを手当てするためのアップデイトも頻繁に行われています。そのため、Apache Struts2をフレームワークとして利用して開発したWebアプリケーションの運営担当者は、Webアプリケーションへのアップデイトの適用の要否を常にウォッチしていなければなりません。脆弱性を放置しておくと、その脆弱性を突いたサイバー攻撃を受けかねないからです。サイバー攻撃を受けるリスクを考慮すると、Apache Struts2を使用中のサイトを運営している会社では、別のフレームワークでサイトを構築し直すことも検討の価値“大”と言えます。また、仮にApache Struts2を使い続けるとしても、自社が運営しているサイトがサーバーに個人情報を保持しない仕組みとなっているかどうかの確認は、今すぐに実施すべきです。サイバー攻撃に対する防御措置として有効とされているWAFも、最近では安価なクラウド型のサービスが普及しており、未導入の企業では早急に導入を検討すべきです。
脆弱性 : 欠陥のこと。WebアプリケーションフレームワークはWebアプリケーションの土台となるものであり、部品に欠陥があればその部品を用いた装置全体が欠陥となるように、ライブラリに脆弱性(欠陥)があればそのライブラリを用いて構築されたWebアプリケーション自体が脆弱性を抱えることになる。
IT投資のうちセキュリティ対策は「費用対効果が見えづらい」ことから、「必要だと分かってはいるものの予算が付きにくい」コストの典型例です。しかし、実際にサイバー攻撃を受け個人情報が流出してしまうと、サイト運営企業はレピュテーションの低下も含めて甚大な損害を受けることになるため、セキュリティ対策は後回しすべきではありません。なお、サイト構築や運用を外部に委託している場合、ぴあの事例のように、サイトが仕様通りに構築されていなかったりマニュアル通りに運用されていなかったりしてもそれに委託元が気付いていない可能性もあります。委託元と委託先との認識にずれがあると、委託元がセキュリティリスクの程度の認識を誤ってしまう可能性もあることから、思い込みによる判断ミスを防ぐため、セキュリティ診断は委託元だけで行わず外部の専門業者に委託するべきです。
Facebook公式ページ
Twitter公式ページ