総務省、「サイバーセキュリティ対策情報開示の手引き」を公表
――意義・開示書類・開示項目に加え、記載事例を取りまとめて紹介――
総務省は6月28日、民間企業におけるサイバーセキュリティ対策の情報開示について参考となりうる実例等をまとめた「サイバーセキュリティ対策情報開示の手引き」を作成したとし、公表した。
総務省では2017年1月、IoT/AI時代のサイバーセキュリティ確保を強力に進めることを目的として、サイバーセキュリティ統括官の私的懇談会である「サイバーセキュリティタスクフォース」(座長・安田浩東京電機大学学長)を設置した。同年12月からは同タスクフォースの下に「情報開示分科会」(主査・岡村久道弁護士〔弁護士法人英知法律事務所〕)を設置、今年4月まで9回にわたり会合を開催してきた。同分科会においては、複雑・巧妙化するサイバー攻撃に対する対策強化を進める動きが民間企業にみられるなか「こうした取組をさらに促進するためには、セキュリティ対策を講じている企業が市場を含む第三者から適切に評価される仕組みを構築していくことが求められてい」るとして情報開示に関する課題を整理、その普及に必要な方策について行ってきた検討の成果を今年5月17日には「サイバーセキュリティ対策情報開示の手引き(案)」として公表し、翌5月18日から6月6日まで意見募集に付していた。
意見募集を経て確定・公表された「手引き」によると、サイバーセキュリティ対策の情報開示は「一義的には企業の社会への説明責任を果たし、ステークホルダーからの信頼を得る営みに位置づけられるものではあるが、自社のサイバーセキュリティ対策の強化にもつながる」とする意義がある。手引きではまず「1. 本手引きの趣旨・目的」において、企業への信頼感が増すことになる情報開示の視点を「取引先」「一般の利用者」「投資家」の各観点から説明。企業の立場からすると「開示内容に対応するよう、自社、子会社、業務委託先、調達先等のサイバーセキュリティ対策強化の取組が進展することが期待される」こと、「ステークホルダーからの信頼と高い評価を得て、自社の社会的評価や自社の商品・サービスのブランド価値の向上につながることが期待される」ことなどにも言及したうえで、サイバーセキュリティ対策の情報開示による具体的なメリットを「実際の有識者や企業等からの声」として紹介した。
手引きの「2. 情報開示の手段」では開示書類を検討し、サイバーセキュリティ対策の情報開示のために現時点で活用されている開示書類を、ア)有価証券報告書【制度開示】、イ)コーポレート・ガバナンス報告書【制度開示】、ウ)CSR報告書/サステナビリティ報告書【任意開示】、エ)統合報告書【任意開示】、オ)アニュアルレポート【任意開示】、カ)情報セキュリティ報告書【任意開示】ーーの6通りに整理。そのうえで、記載の現状について「サイバーセキュリティ対策に係る記載の量は、任意開示の書類(CSR報告書、サステナビリティ報告書)が比較的多い傾向にあり、制度開示(有価証券報告書、コーポレート・ガバナンス報告書)の書類では比較的少ない傾向にある」と分析している。
「3. 企業における情報開示の在り方」においては具体的な対策項目を掲げつつ、開示の在り方を巡って留意すべき点に言及するかたちを採った。実際のサイバーセキュリティ対策は「事業内容や経営戦略に即して最適なサイバーセキュリティ対策を講じていくことが期待される」との記述もあり、各企業において検討されるものではあるが、手引きでは「一般的な対策の内容」として次の10項目を挙げている。①サイバーセキュリティ対応方針策定、②経営層によるリスク管理体制の構築、③資源(予算、人員等)の確保、④リスクの把握と対応計画策定、⑤保護対策(防御・検知・分析)の実施、⑥PDCAの実施、⑦緊急対応体制の整備、⑧復旧体制の整備、⑨取引先・委託先やグループ単位のサイバーセキュリティ対策、⑩情報共有活動への参加。
ただし、これらの情報開示の在り方についてはステークホルダーによって異なること、また、上記④や⑤などを具体的に開示した場合にはかえってサイバー攻撃を誘発するリスクもあることが述べられており、「全体として経営層の責任の上で開示のメリットとデメリットを判断の上で開示の内容を考えていく必要がある」と指摘した。
手引きでは他に「開示にあたってのポイント」を5つの点から説明するほか、企業の実際の開示書類から計29に及ぶ記載事例を紹介している。適宜参考とされたい。