サイバーリスク：サイバーセキュリティを単なるコストセンターにはしない

経営層への法的責任

サイバー攻撃やサイバー犯罪に伴う事業停止。GDPR（EU一般データ保護規則）などの関連法規制への違反。
これらに伴う損失や損害が甚大であることは、既にご認識いただいているとおり。もしくはそれ以上だ……。

そして、近年極めて厳しい局面へと事業者が追いやられてしまう事態として、経営層が法的責任の追求に直面する場面である。これらはサイバーリスクに関する監視義務を怠ったり、リスクを公表しなかったりしたことで引き起こされることが多い。

このような風潮もあり、現に「58%の企業で、取締役会または取締役の経歴にサイバーセキュリティの専門性を求めている」として、米コンサルティング会社が2020年にフォーチュン100企業を対象として実施した調査から報告^*1している。

また、米国証券取引委員会（SEC）からは2018年に、サイバーセキュリティに関する情報開示のガイダンス^*2が発行されている。ここでは、企業が投資家に対してサイバーリスクに関するより包括的で思慮深い開示を提供することを推奨している。

実際、株主やSECにとって重要となる可能性のある特定のイベントについては、Form 8-kを用いた通知をすることが多い。
2021年3月には、大手醸造業者がSECに提出したForm 8-kの中で^*3、同社が受けたサイバー攻撃によりビールの生産と出荷に大きな影響を及ぼしていることを開示している。

ESG格付けへの影響

2021年4月にロンドンとニューヨークを拠点とする信用格付け会社が、サイバーリスクへの懸念から米国の上下水道会社への格付けを引き下げた^*4。信用格付け会社は債務返済する能力を評価し、公益事業社には比較的安全な投資と見なして肯定的な評価が与えられることが多い中でのことだ。

今回の引き下げが特定のインシデントによるものであるとは言及されていない。しかし、インシデントが発生した場合には財政面での影響が生じる可能性があることを強調している。

具体的には、サイバー攻撃に応じるための緊急で生じるコスト。また、それに伴う現預金の減少と運営費増大の可能性。
そして、新たなITインフラをサポートしていくための、予期せぬ融資等が必要となる可能性。 また、顧客データの損失または毀損によって、メーター読み取りや課金システムへのアクセスができなくなる可能性。
更に、経済的損失に伴う制裁または訴訟への対応の可能性。
これらの可能性への懸念によるものである。

このことからも、サイバーリスクを適切に管理する能力を欠いている、もしくはサイバー攻撃後の透明性、コミュニケーション、レピュテーションの低下に関して懸念がある場合、企業の信用に否定的な要素であるとみなされる可能性がある。

また同格付け会社では、準拠した企業は長期的に持続可能であると認識されているESGを評価するためのフレームワークの一部としてサイバーセキュリティを組み込んでいる。
サイバーリスクは安全性とセキュリティの観点から社会的リスクであると同時に、管理の有効性の観点からのガバナンスリスクでもあるとしており、昨今注目されているESG関連での格付けにもサイバーリスクが影響を与えることとなる。

直接的な被害にとどまらない

サイバーリスクへの懸念から格付けを引き下げられたのは、今回の上下水道会社が初めてではない。

2019年に三大格付け会社のうちの一社が、2017年に約1億4000万人ものデータ侵害が発生したEquifaxに対する格付け見通しを「安定」から「ネガティブ」へと大幅に引き下げたことが初の事例となっている^*5。
同社では12億5000万ドル（およそ1400億円）かけたデータ保護強化プログラムを推進することとなったが、進行中の集団訴訟を解決するための費用や法規制による潜在的な罰金などサイバーセキュリティに関するコストの上昇が、当面の間における企業の利益とフリーキャッシュフローに悪影響を及ぼし続けると予想されたため格付けの引き下げへと至った形だ。

このデータ侵害では同社CEOが引責辞任したことに加え、和解の要件としてFTC（米連邦取引委員会）、CFPB（米消費者金融保護局）、米国48州と2つの準州における調査に最大7億ドル（およそ750億円）を支払うことで合意している。
その内、最大で4億2500万ドル（およそ450億円）は消費者への補償に充てるとしており、データ侵害の対象となる顧客には、信用情報の監視サービスを向こう10年間無償で提供している。

更に和解の要件には、取締役会の監視、セキュリティリスクの年次評価実施、取締役会よりコンプライアンス証明書を毎年発行するといった要件も含まれている。 加えて、同社では取締役会のシステムを刷新し、サイバーセキュリティ、テクノロジー、データ分析のバックグラウンドを持つ3人の新しいメンバーも追加した。

このようにサイバー攻撃やサイバー犯罪による影響は直接的な被害にとどまらない。ちなみに、この格付け会社によると、最もリスクの高い業種は金融、証券、病院、インフラプロバイダー、電力会社が含まれているとしている。

長期的に持続可能であるアピール

ESGによって役員や取締役（D&O）への賠償といった問題へ発展する可能性もある。 これを踏まえ2020年6月にUNEP（国連環境計画）によって発行された、保険業界向けのESGガイド^*6がサイバーリスクについて考える上でも参考となるため最後に紹介しておきたい。

このガイドでは、次の4つを主要原則として紹介している。

• 意思決定にESGの問題を組み込む。
• クライアントやビジネスパートナーと協力してESGの問題に対する認識を高め、リスクを管理し、ソリューションを開発する。
• 政府、規制当局、およびその他の主要な利害関係者と協力し、ESGの問題に関する社会全体での広範な行動を促進する。
• 原則の実施における進捗状況を定期的に公表し、説明責任と透明性を示す。

サイバーリスクの状況は日々変化しており、多様で相互に関連した複雑なリスクへと繋がっている。
まずは事業上のリスク要因を明確にし、これらへの説明責任を果たせるようにする。そして、対応の優先順位を付けることで迅速な対応と被害の最小化へ備える。
このことによってコストセンターとして捉えられがちなサイバーセキュリティを、長期的に持続可能であることをアピールする機会へと発展させていくことも可能だろう。

出典

^*1 https://www.ey.com/en_us/board-matters/what-companies-are-disclosing-about-cybersecurity-risk-and-oversight

^*2 https://www.sec.gov/rules/interp/2018/33-10459.pdf

^*3 https://sec.report/Document/0001104659-21-034789/

^*4 https://www.fitchratings.com/research/us-public-finance/cyber-events-could-pose-material-risk-to-water-sewer-utility-credit-08-04-2021

^*5 https://www.moodys.com/research/Moodys-Credit-implications-of-cyberattacks-will-hinge-on-long-term--PBC_1161216

^*6 https://www.unepfi.org/psi/the-principles/