なぜESG格付けにおいてサイバーセキュリティの重要性が高まっているのか

2022-04-08

経営者やセキュリティ責任者は、ESG(環境、社会、ガバナンス)におけるサイバーセキュリティやプライバシー保護の重要性が高まっていることを理解する必要があります。近年、ESG格付け機関がこれらの重みづけを高めていることがその理由です。そのため、環境問題や人権問題に配慮したESG経営を行っていたとしても、サイバーセキュリティが不十分と認められた場合、格付け機関からの評価が伸び悩む恐れがあります。本稿では、ESGとサイバーセキュリティの関連性を解説し、経営者やサイバーセキュリティ責任者が今後実施すべきアクションについて提言します。

今後実施すべきアクション

このように、ESG投資が急速に広まる中、格付け機関がサイバーセキュリティやプライバシーの重みづけを高めています。そのため、経営者やサイバーセキュリティ責任者は、サスティナビリティ部門やCSR推進部門と密接に連携し、情報の開示や格付け機関からの質問状への対応を積極的に行う必要があります。
今後、ESG格付けの維持向上を実現するために、経営者やサイバーセキュリティ責任者は以下のアクションを実行することが求められます。

図表5:経営者やサイバーセキュリティ責任者が実施すべきアクション

項番

実施すべきアクション

補足

1

自業界のESG評価のうち、サイバーセキュリティやプライバシー保護の配分を理解する

  • MSCI
  • S&P Global CSA
  • Sustainalytics
  • 2

    マテリアリティ(重要課題)の特定において、サイバーセキュリティやプライバシー保護の位置づけを再考する

    「ステークホルダーからの優先度」と「自社の視点からの優先度」の2軸で評価しマッピングする(サスティナビリティ部門やCSR推進部門と密接に連携する必要あり)

    3

    サイバーセキュリティやプライバシー保護の取り組み姿勢をストーリーとして語り、積極的に発信する

    事業戦略やDX推進戦略を踏まえ、攻めと守りのバランスが取れたストーリーを発信することで、ステークホルダーへの説明責任につなげる(サイバー攻撃のヒントになるため技術的な情報は公開する必要はない)

    1: 世界持続的投資連合(GSIA),2020,「GLOBAL SUSTAINABLE INVESTMENT REVIEW 2020」,http://www.gsi-alliance.org/

    2:RBC Global Asset Management, 2021, 「Responsible Investment Survey 2021」https://www.rbcgam.com/documents/en/other/esg-key-findings.pdf

    3:日本取引所グループ, 2021, 「ESG評価機関等の紹介」, https://www.jpx.co.jp/corporate/sustainability/esgknowledgehub/esg-rating/index.html

    5:MSCI, 2022, 「ESG Industry Materiality Map」にてSector別に分析。業界別にPrivacy & Data Securityの重みづけが0%~24.1%と設定されています。https://www.msci.com/our-solutions/esg-investing/esg-ratings/materiality-map

    6:S&P Global, 2021, 「Weights Overview」にて業界別に分析。「Information Security/ Cybersecurity & System Availability」と「Privacy Protection」の合計を集計。https://portal.csa.spglobal.com/survey/documents/CSA_Weights.pdf

    7:Sustainalytics, 2022, 「Data Privacy and Security」, https://www.sustainalytics.com/data-privacy-and-security

    8:日本取引所グループ, 2021, 「ESG評価機関等の紹介 - Sustainalytics」, https://www.jpx.co.jp/corporate/sustainability/esgknowledgehub/esg-rating/05.html
     

    執筆者

    上杉 謙二

    ディレクター, PwCコンサルティング合同会社

    Email

    企業評価におけるサイバーセキュリティ情報開示の重要性

    Loading...

    CxOプレイブック:サイバーセキュリティレジリエンスにおけるギャップの解消 「Global Digital Trust Insights 2025」調査結果より

    AIやクラウド技術の進歩に伴いアタックサーフェスの拡大が続き、規制環境も常に変化しています。PwCが77カ国のCxOを対象に実施した本調査によると、サイバーセキュリティレジリエンスを構築するにあたり、企業には解消すべきギャップがあることが分かりました。

    SECの新たなサイバーセキュリティ開示規則 透明性が問われる新たな時代における情報開示への対応

    米国証券取引委員会(SEC)は、新たなサイバーセキュリティの開示規則を採択し、2023年12月中旬からの適用を公表しました。このサイバーセキュリティ開示規則は、米国企業のみならず、米国外の企業にも適用されるため、SECに上場している日本企業にも対応が迫られます。

    Loading...