環境・社会・ガバナンス(ESG)

ESGシリーズ第1回サイバーセキュリティ:ガバナンスの質を見分けるツール

By カリン・ハリデー
ESG部門コーポレート・ガバナンス担当シニア・マネージャー 豪州、シドニー

テクノロジーの進化と共にコネクティビティが広まるにつれ、サイバー犯罪とデータ破壊のリスクが増加しています。株主は、投資先企業において、データとサイバーセキュリティが取締役会における優先課題として取り上げられている事を確認すべきです。

多くの株主は、優れたコーポレート・ガバナンスを経営や倫理、サステイナビリティと関連付けて考えますが、企業におけるガバナンス慣行を知る上で、より重要な要因がもう一つあります。それは、サイバー攻撃に対するアプローチです。

優れたガバナンスを有する企業は、自身が直面するサイバーリスクを十分に理解している可能性が高いからです。

投資家は、的確な質問を問いかける事で、サイバー攻撃の脅威が適切に管理されているかを判断することが可能となり、投資先企業におけるガバナンスとリスク管理の全体的なクオリティを知る事ができます。

拡大する脅威

テクノロジーの浸透によってコネクティビティがこれまで以上に拡大した分、脆弱性も高まっています。保管されたデータは、顧客のニーズや選好に沿った商品・サービスの提供やコミュニケーションに活用され、顧客に恩恵をもたらしている一方で、サイバー犯罪のリスクが高まっています。

データセキュリティの重要性は株主の間でも十分に認識されていますが、これまで以上に問題となっている理由が幾つか存在します:

  • テクノロジーが進化し、より広く浸透している
  • データプライバシーを重視する傾向が強まっている
  • リスクは日々変化し、より複雑化している
  • データ記録の増加、その複雑化と連携が意味するのは、たった1回のデータ侵害でさえも、多数の人々に影響を及ぼす可能性がある
  • いかなる企業でも、全てのサイバー攻撃の可能性に対して常に万全な準備を整えておくことは不可能である
  • データ侵害のニュースは一瞬で広まり、企業の評判に瞬時に影響を与える
  • データセキュリティ侵害の防止と修復にかかる費用は上昇している

サイバー攻撃:株主にとって真なるコスト

企業は、データシステムの保全とプライバシー保護に対する警戒を強化していく必要があります。データを適切に管理するためのプロセスやシステムの導入には費用が伴いますが、不適切な保護は結果としてより高い代償を支払う事になりかねません。データ侵害は、実に莫大な金銭的影響を及ぼすのです。

ポネモン・インスティチュートのレポート*によると、2017年におけるデータ侵害の平均損害額は251万豪ドルでした。データ侵害の発覚と解決が早い程、その費用は抑制できたとの報告もされています。

最終的に、企業が損失を被ることは株主利益が減少することであり、企業の評判が損なわれる事によって、長期的なより多額の損害となるケースもあります。

明らかな相関性

より重要なポイントは、サイバー犯罪対策の整備状況が、その企業におけるより幅広いガバナンスやシステムの状況を示す物差しである点です。

データセキュリティ等のESG(環境・社会・ガバナンス)要因を検討し、企業価値の最も重要なドライバーを理解することは、情報に基づくより優れた投資判断、そしてより良いリターンにつながるのです。

主要なサステイナビリティ要因は業種によって異なるものの、企業におけるESG要因の効率的な管理と財務リターンの間には、明らかな相関があります。

10の重要な質問

では、企業におけるサイバー犯罪対策はどの様に評価すべきなのでしょうか。AMPキャピタルは、投資先企業との建設的なエンゲージメントにおいて長期の経験を誇ります。この対話を通じて確立したのが、投資家が企業に問いかけるべき10の重要な質問です:

  1. 取締役会はサイバーセキュリティのリスクを理解しているか。
  2. 最もリスクの高い事業分野が特定されているか。事業の成功において主軸となる情報、プロセス、知的財産は何なのか。
  3. データやプロセスの想定される侵害・窃盗方法が特定されているか。
  4. 適切なデータセキュリティが導入されており、外部の独立したレビューを含む定期的なテストが実施されているか。
  5. 機密情報へのアクセスには、強いパスワードや2段階の承認が必要となっているか。
  6. 取締役や経営陣は、サイバー攻撃を回避する目的で導入されたリスク管理の慣習を十分に理解するために必要なスキルを有しているか。
  7. 社員がサイバーリスク管理に必要なスキルを身に着けるために、どの様なトレーニングを実施しているのか。
  8. データ侵害発生時には、即時に検知できる確信があるか。
  9. データ侵害発生時の対応は、どの程度迅速に実行できるのか。
  10. 影響を受けた顧客やステークホルダーに対する連絡方法は確立されているか。

取締役会も注目

サイバー犯罪の脅威が高まるとともに、ステークホルダーは、取締役にもサイバーセキュリティの課題にしっかりと注目してほしいと考えるようになっています。さもなくば、取締役は株主を莫大な財務リスクに晒している事になります。

もし取締役会がサイバー犯罪を軽視している場合には、ガバナンスの質について問いかける事がより重要となります。

* ポネモン・インスティチュート、Cost of Data Breach Study: Australia、2017年

  • マーケット・ウォッチ
  • 環境・社会・ガバナンス(ESG)
  • 責任投資

重要事項

この文書に含まれる情報は一般的な情報の提供のみを目的としてAMP Capital Investors Limited(ABN 59 001 777 591, AFSL 232497)(以下「AMPキャピタル」といいます。)が作成したものです。これは現地において適用される法令諸規則や指令に反することとなる地域での配布または使用を意図したものではなく、かつ、特定の投資ファンドまたは投資戦略への投資を推奨、提案または勧誘するものではありません。読者は、この情報を法的な、税務上の、あるいは投資に関する事項の助言と受け取ってはなりません。読者は(この情報を受領した地域を含む)特定の地域において適用される法令諸規則その他の要件に関して、並びにそれらを遵守しなかったことにより生じる結果について、専門家に意見を求め、相談しなければなりません。この文書の作成に当たっては細心の注意を払っていますが、AMPキャピタルあるいはAMPリミテッドのグループ会社は、予測を含むこの文書の中のいかなる記述についても、その正確性または完全性に関して表明又は保証をいたしません。脚注に示される通り、この文書中のいくつかの情報は、当社が信頼できると判断する情報源から取得しており、現在の状況、市場環境および見解に基づいてます。AMPキャピタルが提供した情報を除き、当社はこの情報を独立した立場で検証しておらず、当社はそれが正確または完全であることを保証することはできません。過去の実績は将来の成果の信頼できる指標ではありません。この文書は一般的な情報の提供を目的として作成したものであり、特定の投資家の投資目的、財務状況または投資ニーズを考慮したものではありません。投資家は、投資判断を行う前に、この文書の情報の適切性を考慮し、当該投資家の投資目的、財務状況又は投資ニーズを考慮した助言を専門家に求めなければなりません。この情報は、その全部または一部であるかを問わず、AMPキャピタルの書面による明示の同意なく、いかなる様式によっても、複製、再配布あるいはその他の形式で他の者が入手可能な状態に置いてはなりません。

当ウェブサイトにおけるクッキーとトラッキングについて:当社では、あなたが当ウェブサイト上で行う選択を記憶し、ウェブサイト機能を補助する事を目的として、基本的なクッキーを使用しています。また、あなたに関連性のある商品やサービスの表示や(あなたが同意した場合にのみ)カスタマイズされたマーケティングを行うために、ウェブサイトのトラッキングと分析目的で任意のクッキーも使用しています。当社におけるクッキーの使用とウェブサイト分析に関する詳細は、こちらからご確認いただけます。あなたのブラウザ設定において、クッキーとトラッキング機能の設定を行っている事を確認してください。