「サイバー攻撃被害に係る公表」に関する国内組織実態調査第2回―インシデント検知から1週間以内に公表する企業は半数を超える―

1. はじめに

ビジネスへのサイバー脅威が高まる中、サイバー攻撃被害（以下「インシデント」）時に情報を公表することは、ビジネスへの影響や風評被害を軽減する上で非常に重要です。また昨今、グローバルにおいてインシデント報告を求める法規制が強化される傾向にあり（図表1）、2023年は米国証券取引委員会（SEC）によるSEC登録企業へのサイバーリスクやインシデント報告の義務化¹が話題を集めました。

今後、国内組織にはサイバーインシデントや個人情報漏えいについて「対外公表の迅速化」や「内容の適切化」が一層求められていきます。セキュリティ責任者は風評被害などの影響を最小にとどめ、事業継続を図るために、平時からインシデント発生時における対外公表の準備をしておく必要があります。そのために、PwCでは、2023年より独自に収集するインシデントデータベースをもとに国内組織のインシデント公表事例の内容やタイミング等を分析し、レポートとして情報提供しています。

第2回目となる2024年調査では、2022年10月から2023年9月までに確認された主要な国内インシデント公表事例337件の分析結果（追跡調査含む）をもとに、国内の傾向および国内組織への推奨事項をまとめています。特に今回の調査では、「今後の対応」の記載率が前年調査と比較し20ポイントも増加し、国内企業は、より政府の「サイバー攻撃被害に係る情報の共有・公表ガイダンス」記載項目に即した形でインシデントを公表していることが明らかになりました。

なお、今回の調査において、国内組織の他、米国組織における公表事例（N=265）も同条件で調査しました。いくつか傾向が確認できたため参考情報としてレポート文末でご紹介します。

本調査が、皆様が自組織のインシデント公表に係る施策を講じる上での参考になれば幸いです。

図表1：サイバーインシデント報告（個人情報漏えい含む）を義務化する主な法規制

2. 「サイバー攻撃被害に係る公表」の7つの傾向

本調査は、2022年10月から2023年9月末までにCISO Cyber Concierge²にて掲載されたインシデントのうち、国内に所在する被害組織がインシデント公表を行った事例337件を調査対象として公表内容やタイミングなどを分析し、さらに2023年10月から2024年3月末までの半年間での続報（第2報以降）の有無を追跡調査したものです。これらの調査から、以下7つの傾向が明らかになりました（図表2）。

図表2：PwCのインシデントデータベースからみる「サイバー攻撃被害に係る公表」の7つの傾向

カテゴリ	7つの傾向
公表事例からみる国内組織の傾向	続報（第2報以降）を公表する国内組織は約半数外部専門家へ調査委託する国内組織は6割強クレジットカード情報漏えい企業では、外部からの通知によるインシデント発覚が9割と前年に続き高い
公表タイミングにおける傾向	初報の公表曜日は「火曜日」「金曜日」が多い傾向「インシデント検知から初報までにかかる日数」の国内中央値は「5日」、1週間以内に公表する企業が55%と半数を超えるクレジットカード情報漏えい企業では、「インシデント検知から初報」まで1カ月以上要する割合が8割超
公表内容の傾向	「今後の対応」記載割合は、前年と比較し約20ポイントも高い

【公表タイミングにおける傾向】

初報の公表曜日は「火曜日」「金曜日」が多い傾向
「インシデント検知から初報までにかかる日数」の国内中央値は「5日」、1週間以内に公表する企業が55%と半数を超える

まず、インシデント初報の公表曜日をみると、「火曜日」が最も多く全体の25%（上場企業に限っては3割）、次いで「金曜日」が22%の順に高く、半数の企業は火曜日または金曜日に公表していることが読み取れます（図表3）。

次に、「インシデント検知から初報までにかかる日数」をみると、国内中央値は「5日間」で、全体の過半数が1週間以内（1～7日）に公表していることが分かりました（図表4）。

図表3：インシデント被害を公表（初報）した曜日の割合（上場会社および非上場企業との比較）

図表4：インシデント検知から初報までにかかる日数：クレジットカード情報漏えい事例を除く（N=243）

【公表内容の傾向】

「今後の対応」記載割合は、前年と比較し約20ポイントも高い

インシデント公表事例の記載内容を「攻撃・被害概要」「対応状況」「今後の対応」の3つのカテゴリに分けて分析すると、「攻撃・被害概要」および「今後の対応」関連項目は多くの事例で記載を確認できました（図表5）。

前年調査と比較して特に変化した項目は、「今後の対応」の関連項目とした「再発防止策」の記載で、記載割合は92%と前年調査（73%）より19ポイントも高くなりました。これにより国内のインシデント公表事例も、NISC（内閣サイバーセキュリティセンター）の「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の記載項目に概ね則した形で記載されていることが確認できました。

図表5：インシデント公表事例からみる主な記載項目（N=337）

3. インシデント公表事例からみる国内組織への推奨事項

今回の調査において、インシデント公表事例における7つの傾向を示しました。この傾向から国内組織が検討すべき推奨事項を以下に記載します（図表6）。

セキュリティ責任者は、自組織におけるインシデント公表方針の見直しにあたってNISCガイドラインやこれらの公表事例からみる推奨事項を参照し、事前に対外公表のひな形を作成して記載内容・公表フローについて広報部門やIR部門などの専門部門と合意を得ておくことで、有事の際に組織にとって適切な情報開示に臨むことができるでしょう。

図表6：2024年インシデント公表事例からみる国内組織における「7つの傾向」と「推奨事項」

4. 調査概要

調査名	サイバー攻撃被害公表に関する国内組織の実態調査第2回
調査対象	【本調査】 2022年10月1日2023年9月30日までにCISO Cyber Conciergeにて掲載されたインシデントのうち、国内組織が当該インシデントの公表を行ったインシデント公表事例337件【追跡調査】 2023年10月1日～2024年3月31日までに公開された「インシデント公表事例337件」の続報（第2報以降）
調査期間	2022年10月～2024年3月末日
調査方法	机上調査

＜対象報告書の属性＞

今回調査対象となった国内インシデント公表事例の属性は図表7のとおりです。

図表7：調査対象とした国内インシデント公表事例の属性

¹ The Securities and Exchange Commission, “SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies” (July 26, 2023) https://www.sec.gov/newsroom/press-releases/2023-139

² PwC「CISO Cyber Concierge」における「Cyber Incident」では、サイバー脅威インテリジェンスリサーチャーが主要と判断した国内外のインシデントを掲載しています。https://www.pwc.com/jp/ja/services/assurance/governance-risk-management-compliance/digital-trust-service-platform/ciso-cyber-concierge.html