世界のリスク事例

世界基準で見る!サイバー攻撃で試される社内管理体制[ESG経営のリスクマネジメント:Governance(ガバナンス)]

2024年4⽉8⽇ 公開

リスクマネジメントから⾒るサイバー攻撃の本質

サイバー攻撃は、事故を連鎖させていく

個⼈情報や機密情報を流出させるマルウェア。企業内データを暗号化し、データそのものに⾝代⾦を要求するランサムウェア。

事業・業績への直接的なダメージはもちろん、従業員や顧客、取引先や株主はじめ多⽅⾯のステークホルダーからの信⽤を失わせうるサイバー攻撃は、世界中で対策が急務となっています。

しかしながら、重要なのは、サイバー攻撃を受けた後のネガティブな影響まで想像・理解し、回復までのプロセスまでシミュレーションしておくことだとAIG損保は考えます。

グローバルなマーケットで⾃社を守るためには

徹底的な管理体制(ガバナンス)が必須

グローバル展開する企業にとって、顧客、取引先、ステークホルダーの多国籍化が加速しています。

現地法⼈とのアライアンス、または積極的なM&Aによる戦略的マーケティングが実⾏される海外マーケットで、もしも、⾃社または買収先の海外企業がサイバー攻撃されてしまったら。

もし、形骸化していたり属⼈的になっている社内管理体制のまま明⽂化または⾏動の徹底まで⾄っていない場合、グローバルマーケットでは、たった1件のサイバー攻撃が連鎖し、⼿に負えない巨額の和解⾦につながるケースもあります。

買収直後の⼦会社がサイバー攻撃を受けた際、親会社はどういったアクションを取るべきなのでしょうか?

⾏き渡ったガバナンスは、たった1⾏にあらわれる

サイバー攻撃を受けたとき、 まず取るべき⾏動とは?

2016年6⽉にE社は欧州での事業基盤拡⼤を⽬指して、オランダの物流企業X社を買収。

E社が買収後の統合プロセスを推進していた2017年6⽉、X社は世界的に猛威を振るっていたランサムウェア、NotPetya(ノットペトヤ)によるサイバー攻撃を受けました。

求められるのは、適時かつタイムリーな情報開⽰

E社は2017年9⽉の四半期決算発表で、X社に3億ドル以上の被害が出たことを公表しながらも、サイバー攻撃からの回復と業績への悪影響は軽微であると説明していました。

ところが2018年12⽉の四半期決算発表では、2019年度の業績予想を引き下げ、かつ、X社買収によるシナジー効果を2020年度までに実現することは困難だという発表をしました。

その翌⽇、E社の市場株価は12.2%下落しました。

情報開⽰に対して集まる 株主と社会からの疑問視

これを受けてE社の株主は、E社側の情報開⽰は虚偽かつ誤解を招く内容であったとして、E社と役員に対して、⽶国証券法への違反があったと、証券訴訟を提起しました。

情報開⽰の内容に根拠は? 説明を求められるサイバー攻撃後の進捗状況

ネガティブな実態を隠蔽した、情報開⽰の内容が問題に

原告側の主張は、E社の説明とX社の実態が違う点。

実際には、サイバー攻撃の後、X社の⼤⼝顧客が競合他社に乗り換えていたほか、X社の買収によるシナジー効果の実現の⽬処は⽴っていなかったなどの事実が発覚。

それまで公表されていなかった事実関係からすれば、E社のポジティブな情報開⽰は合理的な根拠を⽋いていたというものでした。

しかし局⾯は急展開! E社の申⽴てにより原告の訴えを却下

ポジティブなE社の情報開⽰に対して ネガティブなX社の業績実態、なぜ?

提訴に対してE社側は、 訴えの却下を求める申⽴てを⾏います。

その結果、2021年2⽉、裁判所は情報開⽰が虚偽であった⼜は誤解を招く内容であったという点について原告は⼗分な主張を⾏っていないとして、当該申⽴てを認めました。

E社を救ったのは、 細部にまで⾏き届いた徹底的な社内管理体制

社内管理体制の徹底は、免責事項にも表れる

実は、E社の四半期報告書による情報開⽰は、サイバー攻撃の影響が⻑引く可能性について投資家に注意喚起する⽂⾔が付されており、しかもそれらは太字や斜体で記載することで強調されていたのです。

裁判所はその点を考慮し、以下の2点から判断し、原告の訴えを却下したのです。

  • E社がポジティブな情報開⽰により投資家を欺いたことを原告は⽴証できていない。
  • E社側が投資家を故意に欺いたことを推認させる事実もまた⼗分に主張されていない。

情報の正確性・透明性に加え、
想像⼒とリスクを重く⾒る体質こそ重要

事前に、経験値と最新トレンドに精通する 専⾨家への相談も

E社の事案から、サイバー攻撃を受けてから⼀定期間が経過した後の情報開⽰に、攻撃直後には開⽰されなかった情報があったとしても、あらかじめ「サイバー攻撃による影響が⻑引く可能性がある」などの免責事項を適切に⼊れておくことで、当初の情報開⽰が虚偽⼜は誤解を招く内容であるとは判断されない可能性があることが⽰唆されます。

⽇本の「サイバーセキュリティ経営ガイドラインVer3.0」でも、平時からステークホルダーと信頼関係を築くことや、インシデント発⽣時のコミュニケーションが円滑に進むよう備えておくことが奨励されています。

イベント発⽣時の情報開⽰では、内容の正確性に留意するとともに、業績等に及ぼす悪影響が未知である場合にはE社のケースのように適切な免責事項を付すことが重要といえます。

掲載情報はすべて掲載時のものです。

2023年6⽉2⽇ 公開
グローバルリスクマネジメントの最新トレンド

ホワイトペーパーの無料DLもご⽤意しております。

無断での使⽤・複製は禁じます。

お客さまのグローバルビジネスに、世界基準の知見とノウハウを

経験豊富な担当者が、グローバルリスクマネジメントに関するアドバイスから

グローバル保険プログラムの構築まで、お客さまのニーズにあわせたソリューションをご提供します。

まずはご連絡ください。