
CxOプレイブック:サイバーセキュリティレジリエンスにおけるギャップの解消 「Global Digital Trust Insights 2025」調査結果より
AIやクラウド技術の進歩に伴いアタックサーフェスの拡大が続き、規制環境も常に変化しています。PwCが77カ国のCxOを対象に実施した本調査によると、サイバーセキュリティレジリエンスを構築するにあたり、企業には解消すべきギャップがあることが分かりました。
2022-04-08
経営者やセキュリティ責任者は、ESG(環境、社会、ガバナンス)におけるサイバーセキュリティやプライバシー保護の重要性が高まっていることを理解する必要があります。近年、ESG格付け機関がこれらの重みづけを高めていることがその理由です。そのため、環境問題や人権問題に配慮したESG経営を行っていたとしても、サイバーセキュリティが不十分と認められた場合、格付け機関からの評価が伸び悩む恐れがあります。本稿では、ESGとサイバーセキュリティの関連性を解説し、経営者やサイバーセキュリティ責任者が今後実施すべきアクションについて提言します。
2020年のグローバルのESG投資額は35.3兆米ドル(約4,000兆円)に達し、2018年よりも15%増加しました1。ESG投資が急速に広まった一因には、長期的かつ安定的に資金を運用したい年金基金や保険などの機関投資家が、環境・社会課題を解決しながら持続的な成長を実現する企業への投資を重要視するようになったことが挙げられます。
機関投資家が投資先を決める際には、企業が公表しているIR情報だけではなく、ESG格付け機関からの評価も参考にしています。そのため、企業側にはESGを踏まえて事業戦略上の意思決定を行い、中長期的な企業価値を創造し、非財務情報を積極的に開示していくことが求められています。ESGに配慮していないと株主からみなされた企業は、長期安定株主を失い、短期的な利益だけを求める不安定な株主の割合が増えるためボラティリティ(株価変動率)が高まるとの懸念があります。
機関投資家の懸念事項の上位にサイバーセキュリティが挙げられています。カナダロイヤル銀行傘下のRBC Global Asset Managementの調査によると、機関投資家が懸念しているESG関連テーマは、トップが「腐敗防止」であり、2位が「サイバーセキュリティ」でした。「気候変動」「株主権利・議決権」「水問題」よりも、機関投資家は「サイバーセキュリティ」を懸念事項と考えています2。
ESGは、環境や人権問題に取り組む企業が評価されるといったイメージを持つ方が多いかもしれませんが、デジタルビジネスの安全性やガバナンスも重要視されています。なぜなら、企業のデジタルテクノロジーの活用が社会インフラの維持、ライフラインの確保、消費者の保護、そして持続的な成長や多様な働き方につながるからです。
ここで、主なESG格付け機関を見てみましょう(図表3)。格付け機関は、企業の公開情報や質問状への回答を情報源とし、ESG関連項目の評価を行います。評価項目には、企業のサイバーセキュリティ、データセキュリティ、プライバシーの観点も含まれます。
格付け機関名(アルファベット順) |
アラベスク・グループ |
ブルームバーグ・エル・ピー |
CDP |
FTSE Russell |
MSCI |
S&Pグローバル |
Sustainalytics |
Truvalue Labs |
例えば、MSCI(モルガン・スタンレー・キャピタル・インターナショナル)では、企業のESG評価のうち、サイバー関連項目に24.1%の重みづけをしている業界があります5(図表4の左側)。MSCIは、企業が保有している個人データの数、プライバシー規制への対応状況、データ侵害につながる脆弱性有無、個人データの保護システムなどの公開情報を元に評価しています。
また、S&PグローバルのCSA(コーポレートサステナビリティ評価)では、100点満点の評価のうち、サイバー関連項目に11%の重みづけをしている業界があります6(図表4の右表)。この評価は質問状がベースとなっており、毎年4~6月にアンケート(英語)が対象企業に送付されます。この質問状の中には、情報セキュリティ、サイバーセキュリティ、システムの可用性、プライバシー保護の項目があり、企業は証跡付きの回答を提供することが求められます。なお、2020年にサイバーセキュリティとプライバシー保護に関する質問状の変更が行われ、より具体的な質問内容になりました。
さらに、モーニングスターグループの一員であるSustainalytics(サステイナリティクス)社のESGリスクレーティングでは、企業のデータプライバシー・セキュリティ(Data Privacy and Security)を重要ESG課題の1つとして評価しています。データプライバシー・セキュリティの管理不可能なリスクの大きさを示す「リスクスコア」では、ソフトウェア&サービス業界のリスクスコアが最も大きく5.25、次いで保険、銀行、その他金融業が続きました(10が最大のリスク)7 8。
このように、ESG投資が急速に広まる中、格付け機関がサイバーセキュリティやプライバシーの重みづけを高めています。そのため、経営者やサイバーセキュリティ責任者は、サスティナビリティ部門やCSR推進部門と密接に連携し、情報の開示や格付け機関からの質問状への対応を積極的に行う必要があります。
今後、ESG格付けの維持向上を実現するために、経営者やサイバーセキュリティ責任者は以下のアクションを実行することが求められます。
項番 |
実施すべきアクション |
補足 |
1 |
自業界のESG評価のうち、サイバーセキュリティやプライバシー保護の配分を理解する |
|
2 |
マテリアリティ(重要課題)の特定において、サイバーセキュリティやプライバシー保護の位置づけを再考する |
「ステークホルダーからの優先度」と「自社の視点からの優先度」の2軸で評価しマッピングする(サスティナビリティ部門やCSR推進部門と密接に連携する必要あり) |
3 |
サイバーセキュリティやプライバシー保護の取り組み姿勢をストーリーとして語り、積極的に発信する |
事業戦略やDX推進戦略を踏まえ、攻めと守りのバランスが取れたストーリーを発信することで、ステークホルダーへの説明責任につなげる(サイバー攻撃のヒントになるため技術的な情報は公開する必要はない) |
1: 世界持続的投資連合(GSIA),2020,「GLOBAL SUSTAINABLE INVESTMENT REVIEW 2020」,http://www.gsi-alliance.org/
2:RBC Global Asset Management, 2021, 「Responsible Investment Survey 2021」https://www.rbcgam.com/documents/en/other/esg-key-findings.pdf
3:日本取引所グループ, 2021, 「ESG評価機関等の紹介」, https://www.jpx.co.jp/corporate/sustainability/esgknowledgehub/esg-rating/index.html
5:MSCI, 2022, 「ESG Industry Materiality Map」にてSector別に分析。業界別にPrivacy & Data Securityの重みづけが0%~24.1%と設定されています。https://www.msci.com/our-solutions/esg-investing/esg-ratings/materiality-map
6:S&P Global, 2021, 「Weights Overview」にて業界別に分析。「Information Security/ Cybersecurity & System Availability」と「Privacy Protection」の合計を集計。https://portal.csa.spglobal.com/survey/documents/CSA_Weights.pdf
7:Sustainalytics, 2022, 「Data Privacy and Security」, https://www.sustainalytics.com/data-privacy-and-security
8:日本取引所グループ, 2021, 「ESG評価機関等の紹介 - Sustainalytics」, https://www.jpx.co.jp/corporate/sustainability/esgknowledgehub/esg-rating/05.html
AIやクラウド技術の進歩に伴いアタックサーフェスの拡大が続き、規制環境も常に変化しています。PwCが77カ国のCxOを対象に実施した本調査によると、サイバーセキュリティレジリエンスを構築するにあたり、企業には解消すべきギャップがあることが分かりました。
投資家や格付け機関による企業のセキュリティリスク評価への関心が世界中で急速に高まっています。本レポートでは、日米投資家344名を対象に実施した調査から明らかになった、サイバーセキュリティ情報開示における日米投資家の「12の傾向」を紹介します。
SECは2023年12月発効の新たなサイバーセキュリティ開示規則により、「重要」と判断されたサイバーインシデントに関する特定の情報の開示を義務付けます。企業が検討すべき、かかる情報の収集から文書化、開示に至るプロセスや手順などについて解説します。
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの開示規則を採択し、2023年12月中旬からの適用を公表しました。このサイバーセキュリティ開示規則は、米国企業のみならず、米国外の企業にも適用されるため、SECに上場している日本企業にも対応が迫られます。
ESGとサイバーセキュリティの関連性を解説し、経営者やサイバーセキュリティ責任者が今後実施すべきアクションについて提言します。