「サイバーセキュリティおよびプライバシー情報開示」に関する日米投資家の意識調査2024

はじめに

現代のビジネスにおいて「サイバーセキュリティ」は重要課題です。とりわけサイバーインシデントは、企業の業績、信用、評判にマイナスの影響を及ぼすだけでなく、投資家にも損失をもたらします。このため、世界の投資家や格付け機関において、企業のセキュリティリスク評価への関心^*1が急速に高まっており、近年、各国政府機関においても投資家との対話機会創出のため、サイバーセキュリティやプライバシーに関する情報開示の規制やガイドラインを強化する傾向にあります。米国においても、米国証券取引委員会（SEC）が2023年7月に公開した新たなサイバーセキュリティ開示規則^*2が、同年12月より順次適用^*3されています。

このような背景からPwC Japanグループにおいても、サイバーセキュリティに関して、国内外投資家に対しどのような情報開示を行うべきか、ご相談いただくことが多くなりました。そこでPwCコンサルティング合同会社では、社会課題への先駆的な取り組みとして「サイバーセキュリティおよびプライバシー情報開示に関する日米投資家の意識・着目点」を明らかにすることを目的に、2023年10月から2024年3月にかけて、日米投資家344名^*4を対象としたアンケート調査および6名の有識者（日本投資家、米国投資家、外資系格付け機関など）インタビュー調査を分析しました。

本レポートでは、
①米国証券取引委員会（SEC）におけるサイバーセキュリティ情報開示の動向、
②サイバーセキュリティ情報開示における日米投資家の「12の傾向」、
③国内組織への推奨事項
をまとめています。

本レポートが皆様にとって「サイバーセキュリティに関する情報開示の在り方」を見直す際の参考となることに加え、企業のセキュリティの取り組みが日米投資家に「正しく、ポジティブに評価される」ことを心より願っております。

サイバーセキュリティ情報開示における日米投資家の「12の傾向」

日米投資家344名を対象としたアンケート調査および6名の有識者（日本投資家、米国投資家、外資系格付け機関など）インタビュー調査を分析した結果、投資先企業の「サイバーセキュリティ情報開示における日米投資家の『12の傾向』」が明らかになりました（図表1）。

図表1：サイバーセキュリティ情報開示における日米投資家の「12の傾向」

サイバーセキュリティに関する評価の重要性

1. 投資先企業の「サイバーセキュリティ情報開示」を重要視する米国投資家は8割と、日本投資家より多い

2. 米国投資家の9割が「サイバーセキュリティ情報開示」を投資判断の1つとして捉える

3. サイバーセキュリティ情報開示投資判断への採用理由は、米国投資家では「SEC情報開示義務化」がトップ

投資先企業との対話

①開示情報における評価の傾向

4. 米国投資家の7割がサイバーセキュリティ情報開示評価の「独自指標」を持ち、日本投資家と比較して「サイバーリスク管理体制」よりも「取締役会の関与状況」を評価する傾向にある

5. 平時よりForm 8-Kなどを情報源とする米国投資家は半数を占める

6. 「投資先のサイバーセキュリティ情報開示は十分と言えない」日本投資家は5割と多い

7. リスクの高い業界・保有期間・投資規模に応じて、投資先企業のサイバーセキュリティ情報開示の「評価の重みづけ」を変える米国投資家は9割超と多い

8. 投資規模が大きい場合「1社ずつ個別評価する」米国投資家は7割と、日本投資家（3割）より多い

投資先企業との対話

②質問の傾向

9. 投資先企業へサイバーセキュリティについて質問する米国投資家は9割超、うち過半数が平時・有事におけるサイバーセキュリティに特化した質問項目を準備

10. 米国投資家は「チームにセキュリティ担当者がいる」が半数を超え、日本投資家は採用中・採用検討中が4割と、評価強化が進む

投資先企業のサイバーインシデントを起因とする

「損失・売却・訴訟」

11. 投資先が「サイバーインシデントやリスクを適切に開示しなかったこと」を起因とする損失経験は、日米投資家ともに7割超と多い

12. 米国投資家の「サイバーインシデント起因の売却・訴訟」経験の割合は、日本投資家より高い

サイバーセキュリティに関する評価の重要性

米国投資家の9割が「サイバーセキュリティ情報開示」を投資判断の1つとして捉える

本調査結果から最初に特筆すべきことは、米国投資家の多くが平時・有事ともに、投資先企業の「サイバーセキュリティ情報開示」を投資判断の1つとして捉えている点です。

具体的には、日米投資家344名（米国投資家203名、日本投資家141名）に「投資をする際に、投資先企業のサイバーセキュリティやプライバシーに関する取り組み（平時）やセキュリティ事故の発生状況（有事）を評価しているか、またそれらが投資判断に影響を与えたか」と質問したところ、「評価し、投資判断に影響したことがある」と回答した割合は、米国投資家では9割、日本投資家においても約7割存在することが明らかになりました（図表2）。

投資先企業との対話①開示情報における評価の傾向

米国投資家の7割がサイバーセキュリティ情報開示評価の「独自指標」を持ち、日本投資家と比較して「サイバーリスク管理体制」よりも「取締役会の関与状況」を評価する傾向にある

次に、投資先企業の「開示情報」に対する評価手法と着目点について見ていきます。

サイバーセキュリティ情報開示評価の「独自指標」の有無

日米投資家に「投資先企業の『サイバーセキュリティおよびプライバシーの取り組み（平時）』評価時の指標はあるか」と確認したところ、「独自の指標がある」と回答した米国投資家の割合は66％と、日本投資家と比較し約40ポイントも高いことが明らかになりました（図表3）。

米国投資家（203名）について具体的に見ると、平時（図表3：左）においては、「独自指標を整備」が最も高く（66％）、次いで「外部の指標を採用」が33％と高くなりました。有事（図表3：右）においても同じ傾向ですが、「外部の指標を採用」するとした割合が約半数（46％）と高く、平時の3割（33％）と比較し13ポイント高いことから、投資先企業でのインシデント発生時には、セキュリティ技術など専門知識を有する外部専門家の評価を採用する傾向があるのではないかと推察します。

独自指標における評価項目

次に、「独自指標を整備」と回答した日米投資家172名が評価するとした評価項目を見ると、平時・有事において、米国投資家は「取締役会の関与状況」を評価する割合が最も高く、日本投資家は「サイバーリスク管理体制」や「CISO設置の有無」を評価する傾向にあることが分かりました（図表4・5）。

有識者インタビューにおいては、「多くの上場企業におけるサイバーセキュリティ開示情報は見栄えが良いものの、公開情報などからは実態が伴っているかまでは評価できないと考えている。このため、ISMS認証などの第三者機関の認証を評価対象としている」「インシデントが起きてから初めてサイバーセキュリティの取り組みが伴っていないことが明らかになることがある」といった意見がありました。これらの意見から、投資家とのコミュニケーション手段の1つとして「第三者認証を取得し開示すること」は、企業のセキュリティ管理体制の有効性を投資家へ分かりやすく示すことに繋がると言えます。

投資先企業との対話②質問の傾向

米国投資家は「チームにセキュリティ担当者がいる」が半数を超え、日本投資家は採用中・採用検討中が4割と、評価強化が進む

次に、日米投資家間で大きな差が確認できたのは、投資家チームにセキュリティ専門家を有するかという、体制に関する質問です。

日米投資家に「投資先企業へのヒアリング実施にあたり、チームにセキュリティ担当者がいるか」と確認したところ、米国投資家の過半数が「チームにセキュリティ担当者がいる」としており、日本投資家（11％）と比較して44ポイントも高いことが明らかになりました（図表6）。

具体的に見ると、米国投資家では、「チームにサイバーセキュリティ担当者がいる」とする割合は全体の55％、「社外セキュリティ有識者と業務提携している」は30％であり、サイバーセキュリティの有識者がいるとする割合が85％と高いことが分かります。日本投資家では「チームにサイバーセキュリティ担当者がいる（11％）」「社外セキュリティ有識者と業務提携している（37％）」と、サイバーセキュリティの有識者がいるとする割合は半数にとどまります。一方、チームにサイバーセキュリティ担当者が不在とする日本投資家の多くがサイバーセキュリティ担当者を「現在採用中」もしくは「採用を検討中」と回答しており、今後、米国投資家だけでなく日本投資家においても、投資先企業へのサイバーセキュリティに関する専門的な質問がなされる可能性があるため、企業は特に有事の際の対話についてCISOなどと方針を十分に議論することが求められます。

（参考）投資先へサイバーセキュリティについて質問する米国投資家は9割超

また、日本企業がセキュリティ関連の質問へ十分に回答できていると考える米国投資家は約9割と高い一方、同じ質問に対する日本投資家の回答では6割に留まり、不十分と考える割合が4割も存在することが分かりました（図表7）。

投資先企業のサイバーインシデントを起因とする「損失・売却・訴訟」

投資先が「サイバーインシデントやリスクを適切に開示しなかったこと」を起因とする損失経験は、日米投資家ともに7割超と多い

最後に、日米投資家におけるサイバーインシデントやリスクを起因とする「損失」や「売却・訴訟」経験についての傾向を見ます。

日米投資家に「投資先企業の『サイバーインシデントリスクやセキュリティ事故発生』を企業が適切に開示しなかったことにより損失を受けた回数」を確認したところ、「損失経験がある」と回答した米国投資家の割合は86％、日本投資家は75％と、日米投資家ともに高くなりました（図表8）。

さらに損失経験があるとした米国投資家173名、日本投資家106名に「投資先におけるサイバーインシデントを起因とする損失額（複数経験した場合は最も被害が大きい1件）」について確認したところ、「100万米ドル以上の被害経験を有する」米国投資家は約3割、「1億円以上の被害経験を有する」とした日本投資家は2割超となりました（図表9）。

米国投資家の「サイバーインシデント起因の売却・訴訟」経験の割合は、日本投資家より高い

日米投資家に「投資先企業の『サイバーリスクやインシデント発生』を理由とした、売却や訴訟の経験有無」を確認したところ、「経験がある」と回答した米国投資家の割合は売却・訴訟それぞれ約4割、日本投資家においてもそれぞれ約2割と、一定数存在することが明らかになりました（図表10）。有識者インタビューにおいても、個人情報漏えいやプライバシー侵害に関する米国投資家による訴訟が米国では近年増加傾向にあるとしていることから、平時からサイバーインシデント発生を想定した、投資家との適切なコミュニケーションの在り方（情報開示・質問対応）について対応方針を検討しておく必要があると言えます。

日本企業への3つの推奨事項

本調査から、日米投資家におけるサイバーセキュリティに関する意識の実態として12の傾向を示しました。これらの傾向を受けて、米国株式市場に上場する日本企業や米国投資家と対話機会のある日本企業は、以下3点を実施することを推奨いたします。

情報開示のベストプラクティスや他社動向をもとに、自社の情報開示状況を整理
ー情報開示のあるべき姿とのギャップを把握し、改善ポイントを明確化
取締役や経営層のサイバーセキュリティの取り組み姿勢を積極的にアピール
ー有価証券報告書、コーポレートガバナンス報告書、統合レポートなどで投資家向けに情報を発信
今後のSEC・海外投資家の動向を継続モニタリング
ー最新動向を把握し、自社の情報開示内容を毎年アップデート

調査概要

調査名	「サイバーセキュリティおよびプライバシー情報開示」に関する日米投資家の意識調査2024
調査対象	米国および日本における以下業務従事者機関投資家として、仕事で株式を運用する者機関投資家でアナリストとして企業のセキュリティ関連情報を分析・評価する者
調査方法	インターネットによるアンケート調査および有識者へのインタビュー調査
調査期間	アンケート調査：2023年10月12日～10月25日インタビュー調査：2023年11月～2024年3月
回答者数	アンケート調査：344名（米国投資家203名、日本投資家141名）インタビュー調査：6名（日本投資家、米国投資家、外資系格付け機関など）
分析	PwCコンサルティング合同会社
データ提供	一般社団法人日本IT団体連盟

アンケート調査における回答者の属性

今回のアンケート調査対象となった日米投資家の属性は以下のとおりです。

「『サイバーセキュリティおよびプライバシー情報開示』に関する日米投資家の意識調査2024」の全文は以下よりPDFをダウンロードしてご覧ください。

^*1 PwC「グローバル投資家意識調査2023」
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/global-investor-survey.html
PwC「グローバル投資家意識調査2022」
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/investor-survey.html
PwC「グローバル投資家意識調査2018」
https://www.pwc.com/jp/ja/press-room/investor-survey180327.html

^*2 Securities and exchange commission,“Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure”（2023/6/26）

^*3重要性の高いインシデントの開示要件は、2023年12月18日より発効され（小規模報告企業にはさらに180日間の猶予）、リスク管理、戦略およびガバナンスに関する開示については、2023年12月15日以後に終了する事業年度より全ての登録企業に適用されています。

^*4 本調査では、米国および日本において「①機関投資家として、仕事で株式を運用する者」「②機関投資家でアナリストとして企業のセキュリティ関連情報を分析・評価する者」を調査対象としています。本レポートでは、それぞれの国において①②のグループでは有意な差が見られなかったため、1つのグループ「機関投資家」として分析結果をまとめています。