サイバーセキュリティのリスクを有価証券報告書で開示する必要があるか
IT・情報セキュリティサイバーセキュリティ(情報セキュリティ)のリスクについて、有価証券報告書に記載して開示する必要がありますか。
現時点では開示の義務はありませんが、開示する企業が増えています。開示をすることを積極的に検討すべきであると考えられます。
解説
開示の義務はあるか
上場会社等は、金融商品取引法等に基づいて、事業年度ごとに有価証券報告書等を提出する義務を負い、これが公衆の縦覧に供されることになっています。有価証券報告書の記載内容は、「企業内容等の開示に関する内閣府令」で詳細が定められており、実務的には金融庁が公表している「企業内容等の開示に関する留意事項について(企業内容等開示ガイドライン)」に従って運用されています。
企業内容等開示ガイドラインは、「『事業等のリスク』の記載例としては、おおむね以下に掲げるものがある」としています。
- 会社グループがとっている特異な経営方針に係るもの
- 財政状態、経営成績及びキャッシュ・フローの状況の異常な変動に係るもの
- 特定の取引先等で取引の継続性が不安定であるものへの高い依存度に係るもの
- 特定の製品、技術等で将来性が不明確であるものへの高い依存度に係るもの
- 特有の取引慣行に基づく取引に関する損害に係るもの
- 新製品及び新技術に係る長い企業化及び商品化期間に係るもの
- 特有の法的規制等に係るもの
- 重要な訴訟事件等の発生に係るもの
- 役員、従業員、大株主、関係会社等に関する重要事項に係るもの
- 会社と役員又は議決権の過半数を実質的に所有している株主との間の重要な取引関係等に係るもの
- 将来に関する事項について
以上のとおり、企業内容等開示ガイドラインでは、サイバーセキュリティのリスクは例示されていませんので、法的にも実務的にも、開示は義務づけられていないことになります。
開示についての現状
議論の方向性
もっとも、サイバーセキュリティ(情報セキュリティ)が企業に与える影響は大きくなる一方です。たとえば、平成25年から平成26年にかけて発生した大規模な個人情報漏えい事案では、当該企業が260億円もの特別損失を計上しています。また、近時は、標的型攻撃メールをはじめとするサイバー攻撃の数が顕著に増加しており(参考:警察庁 サイバー犯罪対策プロジェクト「統計」)、企業からの情報漏えいが後を絶ちません。
米国では、証券取引委員会(SEC)が公表している文書等により、サイバーセキュリティのリスクの開示が実務的には義務づけられているといわれています。
日本でも、サイバーセキュリティのリスクを開示することの必要性が政府内で議論されています。たとえば、「内閣サイバーセキュリティセンター」(NISC)内に設置された「サイバーセキュリティ戦略本部」が平成28年8月31日に公表した「サイバーセキュリティ2016」では、以下のとおり、内閣官房および金融庁が、「事業等のリスク」として投資家に開示することの可能性を検討すると明記されています(下線は筆者によるもの。以下同様)。
また、NISCが平成28年8月2日に公表した「企業経営のためのサイバーセキュリティの考え方」でも、「留意事項」の1つとして以下の記載がなされています。
そして、自社のこうした取組に係る姿勢や方針について情報発信していくことで、関係者の理解が深まり、社会的評価を高めることとなる。情報発信の方法として、一般に認知されている情報セキュリティ報告書、CSR 報告書、サステナビリティレポート、有価証券報告書やコーポレートガバナンス報告書等の活用が挙げられる。また、その過程を通じて自社のリスク認識を高めることにもつながるものと考えられる。
そのうえで、企業の分類ごとに、以下のような実装が考えられるとされています。
| 企業の分類 | 実装 |
|---|---|
①IT の利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業(積極的にIT による革新と高いレベルのセキュリティに挑戦するあらゆる企業) |
会社法における内部統制システムの構築・運用の一環として自社のサイバーセキュリティに関する基本方針を発信することや、コーポレートガバナンス・コードに基づく取締役会の情報開示の監督機能の中で、サイバーセキュリティについても実施していくことも必要である。 |
②IT・セキュリティをビジネスの基盤として捉えている企業(IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略に組み込むところまでは位置づけていない企業) |
会社法においては、内部統制システム構築の基本方針を取締役会で決議することとなっている。また、上場会社においては、コーポレートガバナンス・コードの考え方を踏まえ、取締役会が、適時かつ正確な情報開示が行われるよう監督を行うこと、取締役会全体としての実効性に関する分析・評価すること、取締役・監査役に対する必要な知識の習得等の支援が行われていることを確認すること等が求められている。このような内部統制システムの構築・運用の一環として、サイバーセキュリティに関しても、基本方針を策定し、適切に情報開示等に取り組んでいくことが重要である。 |
さらに、経済産業省が平成27年12月28日に公表(その後平成28年12月8日に更新)した「サイバーセキュリティ経営ガイドライン」でも、以下の対策が例示されています。
以上のとおり、サイバーセキュリティのリスクを有価証券報告書に記載して開示することは、義務づけられてはいないものの、必要性が強く叫ばれているというのが、現時点(平成29年9月時点)での日本の現状といえるでしょう。
開示を行っている企業
では、実際、どの程度の企業が、サイバーセキュリティのリスクについて開示しているのでしょうか。
この点については、NISCが委託調査を行い、「民間企業の情報セキュリティリスク開示に関する調査」という文書にまとめています。
これによれば、日経225企業のうち、サイバーセキュリティのリスクを開示している企業の数は、平成21年度は52%(116社)であったものが、平成25年度には60%(136社)へと増加しています。
もっとも、開示している企業の割合は、業種によって大きく異なっており、通信、銀行、証券、保険、小売業、石油、造船、電力、ガス等の14業種では100%(合計51社)であるのに対し、鉱業、繊維、パルプ・紙、鉄鋼の4業種は0%(合計14社)となっています。
NISCは「素材産業全体(64社)では開示割合が32.8%と低く、原材料費や為替の影響等のリスクと比べ、サイバーセキュリティリスクの認識が相対的に低いと考えられる」と評価していますから、該当する企業は特に注意が必要であると考えられます。
なお、自社で発生したサイバーセキュリティインシデントを記載している企業は、4社と少なかったとされています。
実務的な対応
以上のとおり、有価証券報告書の「事業等のリスク」にサイバーセキュリティのリスクを記載することは、義務化まではされていないものの、政府によって必要性が叫ばれており、記載する企業が増えている現状にあります。
企業の担当者としては、自社の有価証券報告書を確認し、もしサイバーセキュリティのリスクを記載していないのであれば、すでに少数派になりつつある(上記のとおり、日経225企業では、平成25年度で60%が開示済みである)ことを踏まえ、記載をすることを積極的に検討すべきではないかと考えられます。
なお、記載内容をそれほど詳細なものにする必要はないものと思われます。実例としても詳細な記載は行われていませんし、サイバーセキュリティのリスクを詳細に開示することは、かえって悪質なハッカーからの攻撃を招くリスクもあるからです。実務的には、既に開示されている他社の有価証券報告書を参考にし、適切な内容・分量の記載をするのがよいと考えられます。
牛島総合法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 危機管理・内部統制
- 訴訟・争訟
- ベンチャー