本稿では、2021年3月に世界経済フォーラムにて公開されたサイバーセキュリティのための取締役会ガバナンス原則を解説していきます。まずは、前提となるコーポレートガバナンス・コードとは何か、サイバーセキュリティ対策とどのような関係があるのかを簡単に触れた上で、サイバーセキュリティのための6つの取締役会ガバナンス原則について解説します。
2014年6月、日本政府が発表した成長戦略「『日本再興戦略』改訂2014年」※1では、日本企業の「稼ぐ力」をより高めていくために「コーポレートガバナンス(企業統治)」を強化する重要性が明示されました。そして、コーポレートガバナンスを実践するための原則・指針として、金融庁と東京証券取引所を事務局として原案を作成し、2015年3月に公表したものが「コーポレートガバナンス・コード原案」※2(以下、「本コード」と言う)です。
本コードにおけるコーポレートガバナンスは「会社が、株主をはじめ顧客・従業員・地域社会等の立場を踏まえた上で、透明・公正かつ迅速・果断な意思決定を行うための仕組み」を意味しており、コーポレートガバナンスに資する原則が提示されています。
本コードには、次の2つの特徴が存在します。
また、本コードは、以下の5点を基本原則※3として、その目的にしています。
近年サイバーセキュリティインシデントが多くの企業で発生し、会計監査の世界でも監査上重要な検討事項となってきています。また、後述する世界経済フォーラムのレポートでも、サイバーセキュリティへの対応が重要な経営課題として挙げられています。前述した「コーポレートガバナンス・コード」の観点からサイバーセキュリティ対策を考えた場合、次の3つの原則について検討事項が存在します。
基本原則2[株主以外のステークホルダーとの適切な協働]
上場会社は、会社の持続的な成長と中長期的な企業価値の創出は、従業員、顧客、取引先、債権者、地域社会をはじめとするさまざまなステークホルダーによるリソースの提供や貢献の結果であることを十分に認識し、これらのステークホルダーとの適切な協働に努めるべきである。
取締役会・経営陣は、これらのステークホルダーの権利・立場や健全な事業活動倫理を尊重する企業文化・風土の醸成に向けてリーダーシップを発揮すべきである。
基本原則2の「考え方」には、次のように記されています。
「持続可能な開発目標」(SDGs)が国連サミットで採択され、気候関連財務情報開示タスクフォース(TCFD)への賛同機関数が増加するなど、中長期的な企業価値の向上に向け、サステナビリティ(ESG要素を含む中長期的な持続可能性)が重要な経営課題であるとの意識が高まっている。こうした中、わが国企業においては、サステナビリティ課題への積極的・能動的な対応を一層進めていくことが重要である。
多くのステークホルダーへ影響を及ぼしかねないサイバー攻撃に備えることはサステナビリティ課題・経営課題の1つであると考えられるため、基本原則2のステークホルダーとの適切な協働の観点からも、サイバーセキュリティへの対応は必要だと想定されます。
基本原則3[適切な情報開示と透明性の確保]
上場会社は、会社の財政状態・経営成績等の財務情報や、経営戦略・経営課題、リスクやガバナンスに係る情報等の非財務情報について、法令に基づく開示を適切に行うとともに、法令に基づく開示以外の情報提供にも主体的に取り組むべきである。
その際、取締役会は、開示・提供される情報が株主との間で建設的な対話を行う上での基盤となることも踏まえ、そうした情報(とりわけ非財務情報)が、正確で利用者にとって分かりやすく、情報として有用性の高いものとなるようにすべきである。
基本原則3は、財務情報だけではなく、会社の財政状態、経営戦略、リスク、ガバナンスや社会・環境問題に関する事項(いわゆるESG要素)などの非財務情報の開示も求められています。2021年6月の改正においては、補充原則3-1③が追加され、「上場会社は、経営戦略の開示に当たって、自社のサステナビリティについての取組みを適切に開示すべきである。また、人的資本や知的財産への投資等についても、自社の経営戦略・経営課題との整合性を意識しつつ分かりやすく具体的に情報を開示・提供すべきである」としています。
近年の「コーポレートガバナンス・コード」の改訂や、その背景にある考え方を踏まえると、企業の非財務的な情報開示が重要視される傾向にあることがわかります。さらに、サイバーセキュリティ対策についても、経営戦略・経営計画の一環として「コーポレートガバナンス・コード」の付属文書である「投資家と企業の対話ガイドライン」で機関投資家と企業の対話において重点的に議論することが期待される事項として挙げられています。このような状況から、企業が開示する非財務的な情報にはサイバーセキュリティ対策を含めることが望ましいと考えられます。
基本原則4[取締役会等の責務]
上場会社の取締役会は、株主に対する受託者責任・説明責任を踏まえ、会社の持続的成長と中長期的な企業価値の向上を促し、収益力・資本効率等の改善を図るべく、
(1)企業戦略等の大きな方向性を示すこと
(2)経営陣幹部による適切なリスクテイクを支える環境整備を行うこと
(3)独立した客観的な立場から、経営陣(執行役及びいわゆる執行役員を含む)・取締役に対する実効性の高い監督を行うこと
をはじめとする役割・責務を適切に果たすべきである。
こうした役割・責務は、監査役会設置会社(その役割・責務の一部は監査役及び監査役会が担うこととなる)、指名委員会等設置会社、監査等委員会設置会社など、いずれの機関設計を採用する場合にも、等しく適切に果たされるべきである。
また、補充原則4-2②では、取締役会の責務として「取締役会は、中長期的な企業価値の向上の観点から、自社のサステナビリティを巡る取組みについて基本的な方針を策定すべきである。また、人的資本・知的財産への投資等の重要性に鑑み、これらをはじめとする経営資源の配分や、事業ポートフォリオに関する戦略の実行が、企業の持続的な成長に資するよう、実効的に監督を行うべきである」としています。前述のとおり、サイバーセキュリティ対策は、サステナビリティや経営戦略の一環で情報開示が求められていることから、同様に取締役には実際にサイバーセキュリティ対策に取り組む責務があると考えられます。
さらに、補充原則4-3④では、「内部統制や先を見越した全社的リスク管理体制の整備は、適切なコンプライアンスの確保とリスクテイクの裏付けとなり得るものであり、取締役会はグループ全体を含めたこれらの体制を適切に構築し、内部監査部門を活用しつつ、その運用状況を監督すべきである」としています。内部統制やリスク管理体制の構築を通じて、サイバーセキュリティ対策を実施することが、取締役の責務であると考えられます。
これまで見てきたとおり、株主以外のステークホルダーとの適切な協働、情報開示および取締役会等の責務といった観点からも取締役はサイバーセキュリティ対策に取り組む必要があります。一方で、「コーポレートガバナンス・コード」では具体的な取り組み方法が厳格に決められているわけではないため、当該内容は有効に機能していないという意見も存在します。それでは、取締役は具体的にどのようなことを念頭にサイバーセキュリティ対策に取り組むべきでしょうか。世界経済フォーラムで発表された6つの原則が指針になると考えられます。
2020年3月、世界経済フォーラム(WEF)は、PwCや全米企業取締役協会、インターネット・セキュリティ・アライアンスと協力し、「サイバーリスクに関する取締役会ガバナンスの原則」※4を発表しました。このレポートでは、ガバナンスの原則だけではなく、今後12か月で会社に最大の影響を与えると予想される5つのトレンドの1つとして、「サイバーセキュリティ脅威の変化」が示されており、取締役が取り組むべき重要な課題として示されています。さらに、レポートではサイバーリスクに関する取締役会ガバナンスの原則として、以下の6つの原則が提唱されており、組織が戦略的目標の推進とサイバーレジリエンスの確立を共に達成するにあたり、取締役会が効果的なガバナンスを発揮することを支援するように設計されています。
サイバーセキュリティへの対応は、今や業界を問わずすべての組織にとって重要な経営リスクとなっています。組織の効果的なサイバーセキュリティ対応を実現すべく、取締役会は、サイバーセキュリティの意思決定に関するリーダーシップの発揮、およびサイバーセキュリティへの対応を積極的に推し進める企業文化の醸成に貢献することが求められます。そのため取締役会は、主要な業務上および戦略上の意思決定時、さらにはデジタルトランスフォーメーション等の新たな企業の取り組みの意思決定時に、サイバーセキュリティの問題を重要な経営リスクの一部として分析および検討を行うだけでなく、サイバーセキュリティへの対応を市場における差別化要因として利用するよう積極的に経営陣に働きかけていくことが望まれます。
組織はビジネス上の意思決定においてサイバーリスクを考慮する際に、組織の財務上の影響に焦点を当てる必要があります。取締役会は、意思決定に必要なサイバーリスク許容度を財務的に定義し、組織がサイバーリスク許容度を確立することが望まれます。また、リスクシナリオの影響と発生可能性を見積もるためのフレームワークの確立や、サイバーリスクの業界標準の比較測定基準の調査等を経営陣に要求することで、組織のサイバーリスク管理の意思決定を支援することの必要性についても述べています。
サイバーリスクへの対応時には、組織はビジネスニーズと定義されたリスク許容度との整合性を明確にすることが求められます。取締役会は、組織の事業戦略と推進要因(デジタル成長など)を、サイバーリスクへの影響を考慮して批判的に検討する必要があります。また、経営陣に対して、自身のサイバーセキュリティへのコミットメントやサイバーリスク管理の計画、サイバーリスクの重要性の判断基準といった事項について取締役会に報告するよう要求することで、組織のサイバーセキュリティ活動に対して効果的なガバナンスを発揮することが求められます。
組織は、明確なオーナーシップ、権限、重要業績評価指標(KPI)を定義することで、企業全体でサイバーセキュリティに対処する内部ガバナンス構造を設計する必要があります。ガバナンスの設計にあたって、取締役会は、サイバーセキュリティに関する組織構造、役割およびリソースの配分といった事項について、積極的に監視および提言を行うことで、効果的なガバナンスを発揮することが求められます。加えて、取締役会は、サイバーセキュリティに関する利害関係者間のコラボレーションを促進し、組織のサイバーセキュリティ文化の醸成に貢献することも求められます。
取締役会がサイバーセキュリティに関する効果的なガバナンスを発揮するには、内外の専門知識を活用しつつ、取締役自身がサイバーセキュリティに関する知識を継続的に拡大するように努める必要があります。加えて、サイバーに関する専門家の取締役会への参加促進や、第三者のアドバイザーによる取締役会への定期的な報告、独立した第三者機関による組織のサイバーセキュリティ強度の定期的な監査を検討することで、取締役会のガバナンスにサイバーセキュリティの専門知識を組み込むことが求められます。
高度に組織間が接続された現代では、自社のサイバーセキュリティの確保のみならず、組織を超えたサイバーレジリエンスに向けた協働が求められます。経営陣は、組織間全体のサイバーレジリエンスを向上させるために、業界全体および公的および民間の利害関係者とのコラボレーションを奨励するとともに、取締役自身も他の取締役を含むピアネットワークの構築に尽力必要があります。
「コーポレートガバナンス・コード」の「考え方」にも記載されているとおり、取締役の責務の発揮や非財務情報の開示等には具体的なルールが存在しないため、現在の企業から開示された情報だけでは、付加価値に乏しい場合も少なくないという意見が多々存在します。今回解説した世界経済フォーラムの6つの原則は、サイバーセキュリティという観点ではありますが、取締役会で検討すべき事項が明示されています。したがって、サイバーセキュリティ対策状況についてどのように取り組んでいくべきか、開示すべきかを悩んでいる企業においては、まずこの6つの原則をベースに現在の会社のサイバーセキュリティ対策状況をとりまとめることにより、多くのステークホルダーにとって付加価値のある情報提供ができるようになります。本稿をそのための第一歩として頂ければ幸いに存じます。
【執筆協力】
PwCあらた有限責任監査法人 シニアマネージャー 佐々木 章
PwCあらた有限責任監査法人 アソシエイト 川井 歩夢
PwCあらた有限責任監査法人 アソシエイト 美原 きらら
※1 日本経済再生本部「『日本再興戦略』改訂2014 ―未来への挑戦―」(2014年6月24日)
https://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/honbun2JP.pdf
※2 金融庁「コーポレートガバナンス・コード原案 ~会社の持続的な成長と中長期的な企業価値の向上のために~」(2015年3月5日)
https://www.fsa.go.jp/news/26/sonota/20150305-1/04.pdf
※3 東京証券取引所「コーポレートガバナンス・コード ~会社の持続的な成長と中長期的な企業価値の向上のために~」(2021年6月11日)
https://www.jpx.co.jp/news/1020/nlsgeu000005ln9r-att/nlsgeu000005lne9.pdf
※4 World Economic Forum, Principles for Board Governance of Cyber Risk, 2021
https://www.weforum.org/reports/principles-for-board-governance-of-cyberrisk
PwCあらた有限責任監査法人
システム・プロセス・アシュアランス部
パートナー 綾部 泰二
PwCあらた有限責任監査法人
システム・プロセス・アシュアランス部
パートナー 川本 大亮