ESG格付けへの影響

2021年4月にロンドンとニューヨークを拠点とする信用格付け会社が、サイバーリスクへの懸念から米国の上下水道会社への格付けを引き下げた*4。信用格付け会社は債務返済する能力を評価し、公益事業社には比較的安全な投資と見なして肯定的な評価が与えられることが多い中でのことだ。

今回の引き下げが特定のインシデントによるものであるとは言及されていない。しかし、インシデントが発生した場合には財政面での影響が生じる可能性があることを強調している。

具体的には、サイバー攻撃に応じるための緊急で生じるコスト。また、それに伴う現預金の減少と運営費増大の可能性。そして、新たなITインフラをサポートしていくための、予期せぬ融資などが必要となる可能性。 また、顧客データの損失または毀損(きそん)によって、メーター読み取りや課金システムへのアクセスができなくなる可能性。さらに、経済的損失に伴う制裁または訴訟への対応の可能性。これらの可能性への懸念によるものである。

このことからも、サイバーリスクを適切に管理する能力を欠いている、もしくはサイバー攻撃後の透明性、コミュニケーション、レピュテーションの低下に関して懸念がある場合、企業の信用に否定的な要素であるとみなされる可能性がある。

また同格付け会社では、準拠した企業は長期的に持続可能であると認識されているESGを評価するためのフレームワークの一部としてサイバーセキュリティーを組み込んでいる。サイバーリスクは安全性とセキュリティーの観点から社会的リスクであると同時に、管理の有効性の観点からのガバナンスリスクでもあるとしており、昨今注目されているESG関連での格付けにもサイバーリスクが影響を与えることとなる。

直接的な被害にとどまらない

サイバーリスクへの懸念から格付けを引き下げられたのは、今回の上下水道会社が初めてではない。

2019年に三大格付け会社のうちの一社が、2017年に約1億4000万人ものデータ侵害が発生したEquifaxに対する格付け見通しを「安定」から「ネガティブ」へと大幅に引き下げたことが初の事例となっている*5。同社では12億5000万ドル(およそ1400億円)かけたデータ保護強化プログラムを推進することとなったが、進行中の集団訴訟を解決するための費用や法規制による潜在的な罰金などサイバーセキュリティーに関するコストの上昇が、当面の間における企業の利益とフリーキャッシュフローに悪影響を及ぼし続けると予想されたため格付けの引き下げへと至った形だ。

このデータ侵害では同社CEO(最高経営責任者)が引責辞任したことに加え、和解の要件としてFTC(米連邦取引委員会)、CFPB(米消費者金融保護局)、米国48州と2つの準州における調査に最大7億ドル(およそ750億円)を支払うことで合意している。

そのうち、最大で4億2500万ドル(およそ450億円)は消費者への補償に充てるとしており、データ侵害の対象となる顧客には、信用情報の監視サービスを向こう10年間無償で提供している。

さらに和解の要件には、取締役会の監視、セキュリティーリスクの年次評価実施、取締役会よりコンプライアンス証明書を毎年発行するといった要件も含まれている。 加えて、同社では取締役会のシステムを刷新し、サイバーセキュリティー、テクノロジー、データ分析のバックグラウンドを持つ3人の新しいメンバーも追加した。

このようにサイバー攻撃やサイバー犯罪による影響は直接的な被害にとどまらない。ちなみに、この格付け会社によると、最もリスクの高い業種は金融、証券、病院、インフラプロバイダー、電力会社が含まれているとしている。