(イメージ:写真AC)

2021年4月にバーチャル気候変動サミットが開催され40の国と地域からの代表者が二酸化炭素(CO2)排出量削減の目標などを掲げた。ESGによる長期的な持続可能性が求められる現在、サイバーリスクもその重要な指標の一つとなっている。

経営層への法的責任

サイバー攻撃やサイバー犯罪に伴う事業停止。GDPR(EU一般データ保護規則)などの関連法規制への違反。これらに伴う損失や損害が甚大であることは、既にご認識いただいている通り。もしくはそれ以上だ……。

そして、近年極めて厳しい局面へと事業者が追いやられてしまう事態として、経営層が法的責任の追及に直面する場面である。これらはサイバーリスクに関する監視義務を怠ったり、リスクを公表しなかったりしたことで引き起こされることが多い。

このような風潮もあり、現に「58%の企業で、取締役会または取締役の経歴にサイバーセキュリティーの専門性を求めている」として、米コンサルティング会社が2020年にフォーチュン100企業を対象として実施した調査から報告*1している。

また、米国証券取引委員会(SEC)からは2018年に、サイバーセキュリティーに関する情報開示のガイダンス*2が発行されている。ここでは、企業が投資家に対してサイバーリスクに関するより包括的で思慮深い開示を提供することを推奨している。

実際、株主やSECにとって重要となる可能性のある特定のイベントについては、Form 8-kを用いた通知をすることが多い。

2021年3月には、大手醸造業者がSECに提出したForm 8-kの中で*3、同社が受けたサイバー攻撃によりビールの生産と出荷に大きな影響を及ぼしていることを開示している。