サステナビリティ開示とサイバーセキュリティ ～いまから考えるべきこと～ 公認会計士 公認情報システム監査人(CISA) 原 幹 2023年05月18日

登壇者紹介 原 幹 (HARA , Kan) 1992年 井上斉藤英和監査法人 1998年 フューチャーシステムコンサルティング 2001年 ウルシステムズ 2004年 エヌ・ティ・ティ・データ システムデザイン 2007年 独立開業 原幹公認会計士事務所 代表 2007.04- 現任 株式会社クレタ・アソシエイツ 代表取締役 2007.05- 現任 フリー株式会社 社外監査役 2013.10-2021.09 アガサ株式会社 社外監査役 2019.12- 現任 株式会社あしたのチーム 社外監査役 2020.03- 現任 • 常に実践的な課題解決を展開し、多くのプロジェクトにて高い顧客満足度を得る • 会計およびIT領域での豊富な経験を有し、主要な技術要素やコンサルティングメソッドにも精通 • 「経営に貢献するITとは？」という一貫した視点をベースにキャリアを形成、翻訳書およびメディアでの連載実績多数 • 専門領域 コーポレートガバナンス・内部統制・ITマネジメント・クラウドセキュリティ • 公認会計士/公認情報システム監査人(CISA)/公認不正検査士(CFE)/Certificate of Cloud Security Knowledge (CCSK) 2

登壇者紹介  「1冊でわかる! 経理のテレワーク<第2版>」(中央経済社 2022年刊)  「ITエンジニアとして生き残るための会計の知識」(日経BP社 2015年刊)  「クラウド会計」が経理を変える！(中央経済社 2015年刊)  IFRS のきほんがよくわかる本(自由国民社 2011年刊)  会計士さんの書いた 情シスのためのIFRS(共著・翔泳社 2010年刊) 3

本日お伝えしたいこと  サステナビリティ関連の開示はどのような仕組みなのか  日々の業務で意識するサイバーセキュリティとは何か  AIの進化はサイバーセキュリティにどのような 変化をもたらすのか 4

サステナビリティ関連開示の仕組み  非財務情報の存在感  企業が保有する財産のうち、無形資産(ソフトウェア/特許/ 顧客データ/ブランドなど)の占める割合が高まる  従来の財務情報の開示のみでは企業価値を十分に説明できない との問題意識から、非財務情報の開示が必要という議論が進む  サステナビリティへの関心の高まり  ESG(環境・社会・ガバナンス)投資の急拡大  CSRの注目からESG重視の風潮が広まる  ESG格付け・ESG投資の定着  サステナビリティ開示のはじまり  2000年以降、多くの情報開示フレームワークが提案される  2020年 複数団体による共同レポート 「企業価値の報告-気候関連財務報告基準プロトタイプ」を公表 5

サステナビリティ関連開示の最新動向  欧州  非財務情報開示指令(NFRD)を採択し、EU加盟各国内での 法制化を完了  2021年4月 企業サステナビリティ報告指令(CSRD)を提案  2028年の会計年度より情報開示を義務化する  米国  2020年11月より年次報告書(Form 10-K)への開示が始まる  気候関連リスクの開示規則を2023年に導入予定 6

サステナビリティ関連開示の最新動向  日本  2021年6月 コーポレート・ガバナンス・コード改訂  TCFD提言をもとに気候関連情報の開示ルールを導入  2022年6月 金融審議会ディスクロージャーWG  サステナビリティに関する有価証券報告書等における開示のあり方を提言  2023年1月 企業内容等の開示関する内閣府令の改正  サステナビリティに関する企業の取組の開示をとりまとめ  2023年3月31日以後に終了する事業年度に開示する有価証券報告書上で 「サステナビリティに関する考え方及び取組」欄の記載が義務化される 7

サステナビリティ関連の開示要素とは 8 出典: 第7回 金融審義会ディスクロージャー・ワーキング・グループ(令和3年度)事務局説明資料 P16

サステナビリティ関連の開示要素とは 9 出典: 第7回 金融審義会ディスクロージャー・ワーキング・グループ(令和3年度)事務局説明資料 P46

サステナビリティ関連の開示要素とは 10  サステナビリティ情報の「記載欄」を新設する  「ガバナンス」と「リスク管理」はすべての企業が開示する  「戦略」と「指標及び目標」は各企業が重要性を判断したうえで開示する

サステナビリティ開示の主要な特徴  主要な特徴  「ガバナンス」と「リスク管理」の開示は必須 (ただし具体的な記載方法は企業に委ねられている)  人的資本については「戦略」と「指標及び目標」の記載が必須  適用時期  2023年3月31日以後に終了する事業年度より適用する  3月決算法人については2024年3月期決算からの開示が義務付けられる 11

参考: DNPグループのサステナビリティ開示  環境報告書でのサステナビリティ情報開示 12 出典: DNP 環境報告書 2022 https://www.dnp.co.jp/sustainability/report/pdf/dnp_csr2022data.pdf

投資家・アナリストの期待  投資家・アナリストが期待する主な開示ポイント  顧客と競合に関する具体的な開示  非財務情報について、過去からの変化を理由とともに比較して開示  キャッシュの原資と使途について、優先順位を示しながら開示  長期ビジョンからのドリルダウンによる記載  非財務情報について、財務情報との関連性を示す  株主還元の立場から、TSR(*)について継続的に開示する  注目される主な開示ポイント(事業等のリスク)  リスクの見直しを継続的に行うこと  見直しの体制やプロセス、変更されたリスクがわかるような記載 及び変更となった理由が示されること  リスク及びその対応策を明確に開示すること  影響度の大きさに優先順位をつけて開示すること 13 (*)TSR: Total Shareholders’ Return(株主総利回り) =投資収益(配当+キャピタルゲイン)/投資額(株価)

なぜサイバーセキュリティリスクに注目するのか  過去20年にわたり、業務システムのクラウドへの実装が促進した  クラウドでの事業基盤の特性  リスクの継続的見直しが必須である  リスク及びその対応策を明確に開示すること  影響度の大きさに優先順位をつけて開示すること  クラウド環境での安定的なシステム運用への要求水準が高まる  「事業基盤の安定した維持管理」が事業価値の向上に直結する  機関投資家・格付け機関もサステナビリティの評価項目として サイバーセキュリティを重視している  MSCI  S&P Global Corporate Sustainability Assessment(CSA)  Sustainalytics 14

なぜサイバーセキュリティリスクに注目するのか  「コミュニケーションサービス」「金融」「IT」業界に おいてプライバシー/データセキュリティの重み付けが大きい 15 出典: ESG Industry Materiality Map https://www.msci.com/our-solutions/esg-investing/esg-industry-materiality-map#

なぜサイバーセキュリティリスクに注目するのか 16 評価スコープ 評価項目 IT Security/Cybersecurity Governance • Board Responsibility • Executive Management Responsibility IT Security/ Cybersecurity Measures • An information security/cybersecurity policy is internally avail able to all employees • Information security/cybersecurity awareness training • A clear escalation process which employees can follow in the event an employee notices something suspicious is in place • Information security/cybersecurity is part of the employee pe rformance evaluation IT Security/ Cybersecurity Process & Infrastructure • Incident response • Certification • External verification and Vulnerability Analysis • Breaches  S&P Corporate Sustainability Assessment の評価項目 出典: S&P CSA Handbook https://portal.csa.spglobal.com/survey/documents/CSA_Handbook.pdf

なぜサイバーセキュリティリスクに注目するのか  クラウドの信頼性を担保する3つの要素 17 Assurance (保証) Accountability (説明) Transparency (透明性) Trust 出典: Cloud Security Alliance Relationships Among Cloud Transparency, Assurance, Accountability and Trust

なぜサイバーセキュリティリスクに注目するのか  リスクマネジメントのフレームワーク  ENISA(European Union Agency For Cybersecurity) 18 出典: The Risk Management Process https://www.enisa.europa.eu/topics/risk-management/current-risk/risk-management-inventory/rm-process/rm-process

なぜサイバーセキュリティリスクに注目するのか  クラウドセキュリティの信頼度を「見える化」する  CSA(Cloud Security Alliance)  STAR(Security, Trust & Assurance Registry) Certification 19 出典: CSAの認証制度：STAR認証について https://cloudsecurityalliance.jp/newblog/2021/10/07/csaの認証制度について/

サイバーセキュリティリスクへの取組み事例 20  株式会社エヌ・ティ・ティ・データ

サイバーセキュリティリスクへの取組み事例 21  旭化成グループ

サイバーセキュリティリスクへの取組み事例  DNPグループ 22 出典: DNPグループ CSRマネジメントトピックス 2022 https://www.dnp.co.jp/sustainability/report/pdf/topic_security.pdf

サイバーセキュリティリスクへの取組み事例  DNPグループ 23 出典: DNPグループ 情報セキュリティ中長期ビジョン https://www.dnp.co.jp/sustainability/governance/security/

サステナビリティとサイバーセキュリティ  日々の業務で意識するサイバーセキュリティ  エネルギー効率  環境への影響  社会への影響  サプライチェーンへの影響 24

エネルギー効率  サイバーセキュリティの設計と運用はエネルギー効率に大き な影響を与える  セキュリティシステムの設計において、パワフルなコンピュー タやネットワーク機器の使用を最小限に抑え、省エネルギー機 能を備えた機器の使用を促進する  現場視点における対応テーマ(省エネルギー機器の採用)  Energy Star認証  省エネルギーに優れた製品に対して与えられる認証  スリープモードや電源管理機能を備え、消費電力を抑えることができるコンピュータは 認証を受けられる  LED照明  従来の白熱電球に比べ、LED照明は消費電力が少なく寿命が長いため、省エネルギーに 優れる  ソーラーパネル  太陽光を電力に変換する装置の利用による環境への配慮を実現する 25

環境への影響  サイバーセキュリティにおけるデータ保護やプライバシーの 考慮は環境に影響を与える  クラウドコンピューティングによるデータストレージは 物理的なデータセンターの必要性によって、大量のエネルギー を消費する  現場視点における対応テーマ  大量エネルギーの使用効率を把握、比較する  PUE(Power Usage Effectiveness) =設備全体の電力消費量 / ICT機器の電力消費量  DCiE(Data Center Infrastructure Efficiency) =有効作業量 / エネルギー総消費量 ※PUEの逆数  CSCとして適切にCSPを評価する  エネルギー消費動向比較 26

環境への影響 27 出典: 日本政策投資銀行「データセンター業界レポート～データセンター業界の最新動向～ P47 https://www.dbj.jp/upload/investigate/docs/3f613b233aa36faadfa0eb987d3a4cf5_1.pdf  主要メガクラウド事業者の取組み

社会への影響  大規模なデータ侵害による個人情報や機密情報の流出により 企業に対する社会からの信頼が揺らぐ  企業の評判が損なわれ、ビジネスに対する信頼が低下する  現場視点における対応テーマ  適切なアクセス制御  機密情報の暗号化  セキュリティパッチの適用  ネットワークセグメンテーション  社内教育と訓練 28

社会への影響  適切なアクセス制御  情報にアクセスできる人を制限し、必要最小限の権限を持つユーザーにのみアク セスを許可することで、情報漏洩を防ぐ  ロールベースのアクセス制御、多要素認証(MFA)など  機密情報の暗号化  情報漏洩が発生しても漏洩された情報を読み取ることを困難にする  データベースやファイルの暗号化など  セキュリティパッチの適用  システムやソフトウェアの脆弱性を修正するセキュリティパッチを定期的に適用 することで、悪意のある攻撃者による情報漏洩を防ぐ  ネットワークセグメンテーション  ネットワークを複数のセグメントに分割し、セグメント間の通信を制限すること で、情報漏洩の範囲を限定する  社内教育と訓練  社内の従業員に対してサイバーセキュリティに関する教育や訓練を行い、情報漏 洩のリスクや対策についての意識を高める  フィッシング対策のトレーニングやセキュリティポリシーの啓蒙活動など 29

社会への影響  主な情報漏洩事案(2022年) 30 法人・団体名 件数・人数 漏洩原因 漏洩内容 株式会社ワコム 14万7,545名 不正アクセス 運営する「ワコムストア」に不正 アクセスが発生、最大14万7,545 名の個人情報が流出した可能性 株式会社ニトリホールディングス 約13万2,000 アカウント 不正アクセス 2022年9月20日、同社が顧客向 けに展開しているスマートフォン アプリ「ニトリアプリ」の認証プ ログラムに対する不正アクセスが 発生したと明らかにした 株式会社ディスコ 最大29万8,826件 サイバー攻撃 2022年8月1日、同社が2022年5 月20日付で公表した資格検定申込 サイト「キャリタス資格検定」に 対するサイバー攻撃について、 サービス利用者のメールアドレス 最大29万8,826件に流出懸念があ ると明らかにした 兵庫県尼崎市 個人情報46万517人分 USB紛失 住民税非課税世帯に対する臨時給 付金支給事業の受託事業者関係者 が、市から持ち出した全市民約46 万人等が記録されたUSBメモリを 外部に持ち出し、立ち寄った飲食 店で酒に酔って紛失したと明らか にした 出典: 個人情報漏洩事件・被害事例一覧 https://cybersecurity-jp.com/leakage-of-personal-information#2022%E5%B9%B4

社会への影響  情報漏洩の主な原因 31 出典: 2018年情報セキュリティインシデントに関する調査結果～個人情報漏えい編～(速報版) P7 https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf

サプライチェーンへの影響  サイバーセキュリティのリスクはサプライチェーン全体に 影響を与える  サプライチェーンの一部でセキュリティ上の問題が発生した場 合、他のパートナーにも悪影響を及ぼす  サプライチェーン内のリスクを把握し、適切なセキュリティ 対策を実施する必要がある  現場視点における対応テーマ  サプライヤーの評価と監視  セキュリティ要件の明確化  バックアッププランの策定  セキュリティイベントの通知  トレーニングと啓発 32

サプライチェーンへの影響  サプライヤーの評価と監視  サプライヤーの情報セキュリティポリシーやセキュリティ管理体制を評価する  サプライヤーが変更を行った場合や問題が発生した場合は、定期的に監視する  セキュリティ要件の明確化  サプライヤーとの契約においてセキュリティ要件を明確にする  情報セキュリティの基準や、サプライヤーが提供する製品やサービスにおけるセ キュリティに関する要件を定める  バックアッププランの策定  サプライヤーがシステムのダウンタイムやデータ損失を引き起こした場合に備え 、自社のバックアッププランを策定する  セキュリティイベントの通知  サプライヤーがセキュリティインシデントを経験した場合、自社に迅速かつ正確 に通知する  トレーニングと啓発  サプライヤーとのコミュニケーションに重点を置くことで、情報セキュリティの リスクに対する意識を高める  サプライヤー従業員が情報セキュリティに関するトレーニングを受けることを奨 励する 33

セキュリティ対策まとめ 34 日々の業務で意識すること 現場視点における対応テーマ エネルギー効率 • Energy Star認証 • LED照明 • ソーラーパネル 環境への影響 • 大量エネルギーの使用効率を把握、比較する • CSCとして適切にCSPを評価する • エネルギー消費動向比較 社会への影響 • 適切なアクセス制御 • 機密情報の暗号化 • セキュリティパッチの適用 • ネットワークセグメンテーション • 社内教育と訓練 サプライチェーンへの影響 • サプライヤーの評価と監視 • セキュリティ要件の明確化 • バックアッププランの策定 • セキュリティイベントの通知 • トレーニングと啓発

サイバーセキュリティの今後  Generative AI(生成AI)の出現と将来の可能性  サイバーセキュリティリスクも変容、新たなリスクが出現  セキュリティ対策も進化する  自律動作するAIによる実装・テストの自動化  人間の役割を再定義する  AIの適切な振る舞いを確立する必要がある  経験と知識が必要な点は変わらない 35

サイバーセキュリティの今後 36 リスク項目 内容 悪用されたAI • AIを利用した攻撃者の出現 • 攻撃の高度化や迅速化が可能になる • AIを搭載したマルウェアやフィッシング攻撃の増加 偽造や改竄 • ディープフェイク技術を利用した顔や音声の偽造 • 個人の信頼性低下やプライバシー侵害の発生 • 詐欺やデマの拡散 予測不可能性 • AIの結果や挙動が予測不可能になる可能性 • セキュリティ上の脆弱性やバグの発見が困難になる • 意図しないバイアスや差別的な結果を生み出す可能性 プライバシー侵害 • データの収集・解析段階での個人情報の漏洩や悪用 • 顔認識や行動解析などの個人特定に関わる技術とAIが 組み合わされることでプライバシーリスクが高まる  AIの進化による新たなリスク

サイバーセキュリティの今後  質問: サイバーセキュリティは企業価値にどのような影響をもたら しますか？ 37

サイバーセキュリティの今後  「ITが人間の仕事を増やす」から「AIを正しく働かせる」へ 38 Process Process Process Process Process Process Data Document Data Data Data これまでのIT: ITが人間に余計な仕事をさせてきた？ これからのIT: 人間がIT(AI)を正しく働く環境を整える Process Process Process Process Process Process Data Document Data Data Data

本日のまとめ 39  サステナビリティ関連の開示はどのような仕組みなのか  日々の業務で意識するサイバーセキュリティとは何か  AIの進化はサイバーセキュリティにどのような 変化をもたらすのか

Q&A 40

 Web  https://harakancpa.com/  ブログ  https://harakancpa.com/blog/  Twitter  https://twitter.com/harakancpa  LinkedIn  https://www.linkedin.com/in/harakan/  Speaker Deck  https://speakerdeck.com/kan65535  本資料における会社名・製品名・サービス名・ロゴ等は、それぞれ各社の商標または登録商標です。  本資料に掲載されている全ての画像・文章・情報等は著作権により保護されています。  本資料の一部または全部を無断で転載、または複製など、他の目的に使用することを固くお断りいたします。  第三者への提供、インターネットでのアップロード、SNSなどでの共有等もご遠慮ください。 Contact us 41