世界基準で見る！サイバー攻撃で試される社内管理体制［ESG経営のリスクマネジメント：Governance（ガバナンス）］

2016年6⽉にE社は欧州での事業基盤拡⼤を⽬指して、オランダの物流企業X社を買収。

E社が買収後の統合プロセスを推進していた2017年6⽉、X社は世界的に猛威を振るっていたランサムウェア、NotPetya（ノットペトヤ）によるサイバー攻撃を受けました。

E社は2017年9⽉の四半期決算発表で、X社に3億ドル以上の被害が出たことを公表しながらも、サイバー攻撃からの回復と業績への悪影響は軽微であると説明していました。

ところが2018年12⽉の四半期決算発表では、2019年度の業績予想を引き下げ、かつ、X社買収によるシナジー効果を2020年度までに実現することは困難だという発表をしました。

その翌⽇、E社の市場株価は12.2%下落しました。

これを受けてE社の株主は、E社側の情報開⽰は虚偽かつ誤解を招く内容であったとして、E社と役員に対して、⽶国証券法への違反があったと、証券訴訟を提起しました。

原告側の主張は、E社の説明とX社の実態が違う点。

実際には、サイバー攻撃の後、X社の⼤⼝顧客が競合他社に乗り換えていたほか、X社の買収によるシナジー効果の実現の⽬処は⽴っていなかったなどの事実が発覚。

それまで公表されていなかった事実関係からすれば、E社のポジティブな情報開⽰は合理的な根拠を⽋いていたというものでした。

提訴に対してE社側は、 訴えの却下を求める申⽴てを⾏います。

その結果、2021年2⽉、裁判所は情報開⽰が虚偽であった⼜は誤解を招く内容であったという点について原告は⼗分な主張を⾏っていないとして、当該申⽴てを認めました。

実は、E社の四半期報告書による情報開⽰は、サイバー攻撃の影響が⻑引く可能性について投資家に注意喚起する⽂⾔が付されており、しかもそれらは太字や斜体で記載することで強調されていたのです。

裁判所はその点を考慮し、以下の2点から判断し、原告の訴えを却下したのです。

• E社がポジティブな情報開⽰により投資家を欺いたことを原告は⽴証できていない。
• E社側が投資家を故意に欺いたことを推認させる事実もまた⼗分に主張されていない。