2021/06/09
非IT部門も知っておきたいサイバー攻撃の最新動向と企業の経営リスク
ESG格付けへの影響
2021年4月にロンドンとニューヨークを拠点とする信用格付け会社が、サイバーリスクへの懸念から米国の上下水道会社への格付けを引き下げた*4。信用格付け会社は債務返済する能力を評価し、公益事業社には比較的安全な投資と見なして肯定的な評価が与えられることが多い中でのことだ。
今回の引き下げが特定のインシデントによるものであるとは言及されていない。しかし、インシデントが発生した場合には財政面での影響が生じる可能性があることを強調している。
具体的には、サイバー攻撃に応じるための緊急で生じるコスト。また、それに伴う現預金の減少と運営費増大の可能性。そして、新たなITインフラをサポートしていくための、予期せぬ融資などが必要となる可能性。 また、顧客データの損失または毀損(きそん)によって、メーター読み取りや課金システムへのアクセスができなくなる可能性。さらに、経済的損失に伴う制裁または訴訟への対応の可能性。これらの可能性への懸念によるものである。
このことからも、サイバーリスクを適切に管理する能力を欠いている、もしくはサイバー攻撃後の透明性、コミュニケーション、レピュテーションの低下に関して懸念がある場合、企業の信用に否定的な要素であるとみなされる可能性がある。
また同格付け会社では、準拠した企業は長期的に持続可能であると認識されているESGを評価するためのフレームワークの一部としてサイバーセキュリティーを組み込んでいる。サイバーリスクは安全性とセキュリティーの観点から社会的リスクであると同時に、管理の有効性の観点からのガバナンスリスクでもあるとしており、昨今注目されているESG関連での格付けにもサイバーリスクが影響を与えることとなる。
直接的な被害にとどまらない
サイバーリスクへの懸念から格付けを引き下げられたのは、今回の上下水道会社が初めてではない。
2019年に三大格付け会社のうちの一社が、2017年に約1億4000万人ものデータ侵害が発生したEquifaxに対する格付け見通しを「安定」から「ネガティブ」へと大幅に引き下げたことが初の事例となっている*5。同社では12億5000万ドル(およそ1400億円)かけたデータ保護強化プログラムを推進することとなったが、進行中の集団訴訟を解決するための費用や法規制による潜在的な罰金などサイバーセキュリティーに関するコストの上昇が、当面の間における企業の利益とフリーキャッシュフローに悪影響を及ぼし続けると予想されたため格付けの引き下げへと至った形だ。
このデータ侵害では同社CEO(最高経営責任者)が引責辞任したことに加え、和解の要件としてFTC(米連邦取引委員会)、CFPB(米消費者金融保護局)、米国48州と2つの準州における調査に最大7億ドル(およそ750億円)を支払うことで合意している。
そのうち、最大で4億2500万ドル(およそ450億円)は消費者への補償に充てるとしており、データ侵害の対象となる顧客には、信用情報の監視サービスを向こう10年間無償で提供している。
さらに和解の要件には、取締役会の監視、セキュリティーリスクの年次評価実施、取締役会よりコンプライアンス証明書を毎年発行するといった要件も含まれている。 加えて、同社では取締役会のシステムを刷新し、サイバーセキュリティー、テクノロジー、データ分析のバックグラウンドを持つ3人の新しいメンバーも追加した。
このようにサイバー攻撃やサイバー犯罪による影響は直接的な被害にとどまらない。ちなみに、この格付け会社によると、最もリスクの高い業種は金融、証券、病院、インフラプロバイダー、電力会社が含まれているとしている。
非IT部門も知っておきたいサイバー攻撃の最新動向と企業の経営リスクの他の記事
おすすめ記事
-
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2024/12/03
-
パリ2024のテロ対策期間中の計画を阻止した点では成功
2024年最大のイベントだったパリオリンピック。ロシアのウクライナ侵略や激化する中東情勢など、世界的に不安定な時期での開催だった。パリ大会のテロ対策は成功だったのか、危機管理が専門で日本大学危機管理学部教授である福田充氏とともにパリオリンピックを振り返った。
2024/11/29
-
-
-
なぜ製品・サービスの根幹に関わる不正が相次ぐのか?
企業不正が後を絶たない。特に自動車業界が目立つ。燃費や排ガス検査に関連する不正は、2016年以降だけでも三菱自動車とスズキ、SUBARU、日産、マツダで発覚。2023年のダイハツに続き、今年の6月からのトヨタ、マツダ、ホンダ、スズキの認証不正が明らかになった。なぜ、企業は不正を犯すのか。経営学が専門の立命館大学准教授の中原翔氏に聞いた。
2024/11/20
-
-
ランサム攻撃訓練の高度化でBCPを磨き上げる
大手生命保険会社の明治安田生命保険は、全社的サイバー訓練を強化・定期実施しています。ランサムウェア攻撃で引き起こされるシチュエーションを想定して課題を洗い出し、継続的な改善を行ってセキュリティー対策とBCPをブラッシュアップ。システムとネットワークが止まっても重要業務を継続できる態勢と仕組みの構築を目指します。
2024/11/17
-
-
セキュリティーを労働安全のごとく組織に根付かせる
エネルギープラント建設の日揮グループは、サイバーセキュリティーを組織文化に根付かせようと取り組んでいます。持ち株会社の日揮ホールディングスがITの運用ルールやセキュリティー活動を統括し、グループ全体にガバナンスを効かせる体制。守るべき情報と共有すべき情報が重なる建設業の特性を念頭に置き、人の意識に焦点をあてた対策を推し進めます。
2024/11/08
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方