Governance

乱立するESG指標:
情報セキュリティの見られ方

本記事では、ESG投資の世界的な興隆に伴い乱立するESG指標に関して、指標間の評価対象・手法の違いや近未来に導入が一般化されうる項目について解説します。今回は、ESGの『G』(ガバナンス)にあたる「情報セキュリティ」に注目しています。

進むESG投資とその指標の複雑性

世界的にグリーン・ファイナンス及びトランジション・ファイナンスなどESG投資への関心が高まっています。ESG投資とは「従来の財務情報だけでなく、環境(Environment)・社会(Social)・ガバナンス(Governance)要素も考慮した投資」のことを指します。

世界の代表的な投資機関が投資する企業を選ぶ際に参照しているESG指標は代表的なもので国内海外に数十とあり、それぞれの指標で数十以上の評価項目が設定されています。また、個々のESG 評価機関によってESG データの評価対象や評価手法は異なり、さらにこれらの評価基準は毎年アップデートされています。

本記事では、ESGの『G』における主要な指標の一つである「情報セキュリティ」に関するESG指標を解説します。一部評価機関では、顧客・製品に関するプライバシー・情報セキュリティという観点でESGの『S』として扱っていますが、本記事ではより広義な情報セキュリティを対象とし、『G』のテーマとして扱います。

企業の経営資源の1つである情報の重要性が高まるに伴い、そのセキュリティに関する取り組みも重視されています。主要なESG評価機関たるMSCIが提供する指標であるMSCI ESG Indexesでは、「Privacy & Data Security(プライバシーとデータセキュリティ)」がESG全体における35個の重要なイシューの1つとされています(*1)。また同じく主要評価機関たるSustainalyticsが提供する指標であるESG Risk Ratingsでは、「Manageable Risk Factors(管理可能なリスク)」としてサイバーセキュリティを例示しています(*2)。

主要評価機関におけるESG評価項目の違い

ESG投資の文脈で参照される主要評価機関が提供するESG指標は、同じテーマでも評価の対象・手法の違いから評価項目が異なるケースが多々見られます。以下では、主要評価機関における「情報セキュリティ」に関連する評価項目の違いについて説明します。

情報セキュリティ方針

情報セキュリティ方針とは、企業において実施する情報セキュリティ対策の方針や行動指針のことを指します。一般的には、社内規定といった組織全体のルールから、どのような情報資産をどのような脅威からどのように守るのかといった基本的な考え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などが含まれます(*3)。

まず、2020年にS&Pグローバルに買収されたRobecoSAMのESG調査部門(*4)が提供する「SAM Corporate Sustainability Assessment(CSA、コーポレートサステナビリティ評価)」(以下、SAM指標)は、「IT Security/Cybersecurity Measures(ITセキュリティ/サイバーセキュリティ施策)」という項目において情報セキュリティ方針を扱っています。具体的には、従業員が情報セキュリティの重要性を認知することを目的とし、全従業員が会社の情報セキュリティ方針にアクセス可能であることを評価しています(*5)。

一方、2009年に欧州の主要な年金基金を中心に創設された不動産会社・運用機関のサステナビリティ配慮を図るESG指標であるGRESB(Global Real Estate Sustainability Benchmark)(*6)は、企業のESG分野における方針有無を評価する「ESG Policies」の項目において情報セキュリティを扱っています。具体的には、ガバナンス関連の方針として、「Cybersecurity(サイバーセキュリティ)」と「Data protection and privacy(データ保護とプライバシー)」に関する方針が開示されていることを評価しています(*7)。

情報セキュリティ研修

情報セキュリティ研修とは、情報セキュリティの事故を未然に防ぐべく、自社セキュリティポリシー周知や従業員のセキュリティに関するリテラシー向上等を目的として実施される研修です(*8)。

まず、SAM指標では「IT Security/Cybersecurity Measures(ITセキュリティ/サイバーセキュリティ施策)」の項目において情報セキュリティ研修を扱っています。具体的には、従業員が情報セキュリティの重要性を認知することを目的とし、情報セキュリティ・サイバーセキュリティに関する「Awareness training(意識向上のための研修)」を行なっていることを評価しています。

一方、代表的なESG評価機関の一つであるISS ESGが提供する「ISS ESG Corporate Rating」(以下、ISS指標)も情報セキュリティ研修を評価しています。ISS ESGは、議決権行使助言会社であるISS(Institutional Shareholder Services)の責任投資部門であり、サステナビリティ格付評価を行なっています(*9)。ISS指標では、従業員は少なくとも年一回の情報セキュリティ研修を受けるべきだとしており、企業が従業員向けの情報セキュリティ研修の実施とその頻度を開示していることを評価しています。特に、情報セキュリティに特化した従業員への強化研修や役員への特別研修が付加的に実施されている場合、最高評価としています(*10)。

情報セキュリティガバナンス

情報セキュリティガバナンスは、経済産業省の産業構造審議会情報セキュリティ基本問題委員会によると、情報資産に関わるリスク管理を目的とし、情報セキュリティに関する意識・取組・業務活動を組織内に徹底させるための仕組みを構築・運用すること、と定義されています(*11)。複数の主要なESG評価機関は、取締役を含む企業の経営陣に関する評価項目を設けています。

SAM指標は、「IT Security/Cybersecurity Governance(ITセキュリティ/ガバナンス)」の項目において、情報セキュリティガバナンスを扱っています。具体的には、サイバーセキュリティ戦略に携わる取締役・執行役が存在することを評価しています。特に取締役に関しては、情報セキュリティ関連のバックグラウンドの有無も評価項目に含まれています。

一方、ISS指標は、「Information Security Risk Oversight(情報セキュリティリスクの監視)」の項目において、取締役のバックグラウンドを含む以下の3項目に渡って情報セキュリティガバナンスを扱っています。

①社外取締役の割合

ISS ESGは、取締役会は社内の情報セキュリティマネジメントのモニタリング機能を有するべきとの考えから、情報セキュリティに携わる取締役のうち、ISS独自の基準を満たす独立社外取締役の割合を評価しています。

②取締役会の議題

ISS ESGは、モニタリングの観点から定期的に情報セキュリティに関する共有を受けるべきとの考えから、取締役会で情報セキュリティに関する議題を取り上げる頻度を評価しています。また、その頻度が年に複数回だった場合に最高評価としています。

③取締役のバックグラウンド

ISS ESGは、情報セキュリティリスクの特定・軽減・対応を担う取締役の人数を評価しています。本項目では、企業が取締役のスキル・経験を開示している、または現在・過去の経験が情報セキュリティスキルに関連する取締役が該当となります。

第三者認証

第三者認証は、組織外の第三者たる外部機関が審査・承認を与えるものであり、公平性や客観性から外部からの信頼性向上が期待できます(*12)。

代表的な認証として、ISO27001とプライバシマークが挙げられます。ISO27001はISMS(Information Security Management System, 情報セキュリティマネジメントシステム)に関する国際規格であり、すべての情報資産が対象となっています(*13)。一方プライバシーマークは、「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合した個人情報保護体制を整備している企業に付与される認証であり(*14)、個人情報全般が対象となっています(*15)。

ISO27001の取得にあたって、情報セキュリティマネジメントのPDCAをカバーする必要があります。PDCAは、適用範囲の決定・情報セキュリティ方針や対策実施手順の策定・リスクアセスメントといったPlan、システムの運用・適用範囲の教育といったDo、外部機関による監視・測定や内部監査といったCheck、是正措置や継続的改善といったActionによって構成されています(*16)。

SAM指標は、認証と監査という2つの観点から評価しています。認証の観点では、ISO27001やNIST(National Institute of Standards and Technology、米国国立標準技術研究所)、またはそれらに準ずる第三者認証を取得していることを評価しています。NISTはサイバーセキュリティに関する規格であり、2014年からNIST CSF(Cyber Security Framework)というフレームワークを提供しています(*17)。また監査の観点では、外部機関による情報セキュリティ監査に加えて、模擬的サイバー攻撃を含む第三者による脆弱性分析が実施されていることを評価しています。

一方ISS指標は、FedRAMP(Federal Risk and Authorization Management Program、連邦情報リスク承認管理プログラム)またはSOC2による監査、または関連産業においてISO27001・FISMA(Federal Information Security Management Act、連邦情報セキュリティマネジメント法)・HIRUST(Health Information Trust Alliance)の認証を取得していることを評価しています。ISSは、これらの監査・認証の対象範囲が企業全体である場合は最高評価、特定のセグメント・地域に限定される場合は部分評価としています。 FedRAMPは、米国政府が採用するクラウドサービスに関するセキュリティ評価・認証の統一ガイドラインです(*18)。またSOC2は、SOCR (Service Organization Control Reporting、SOC報告書)という委託会社の内部統制・サイバーセキュリティに関する内部統制保証報告の枠組みの一部であり、米国公認会計士協会によって定められています(*19)。FISMAは、各連邦政府機関に対して情報セキュリティ強化プログラムの開発・文書化・実践を義務付ける等、情報セキュリティに関する重要な要求事項が定められたものです(*20)。またHITRUSTは医療業界の代表者が管理する組織であり、医療組織とプロバイダーのためのセキュリティ・コンプライアンスのフレームワーク、CSF(Common Security Framework)を作成・維持しています(*21)。

近未来に普及する可能性のある先進的なESG評価項目

情報セキュリティに関連するESG指標の中には、現時点では特定の評価機関のみが導入している指標も存在します。これらは先進的な指標であり、近未来での導入可能性を考慮する必要があります。

インシデント対応

情報セキュリティインシデントとは、情報セキュリティに対する事故・攻撃のことであり、マルウェアへの感染・コンピュータへの不正アクセスといった外部からのサイバー攻撃のほか、従業員の不正による情報漏洩や天災・設備不良による事故等も含まれます(*22)。

SAM指標は、「Incident response(インシデント対応)」の項目にて情報セキュリティインシデントに対して実行可能な対策があり、それらをテストしていることを評価しています。具体的にはテストの頻度をベースに評価しており、年に2回以上の実施で最高評価となります。

情報セキュリティ侵害

ISS指標は、情報セキュリティ侵害について以下の5項目に渡って扱っています。

①侵害による被害額

売上に対する被害額の大きさによって、情報セキュリティ侵害の被害度を評価しています。

②侵害に関する情報開示

過去3年で情報セキュリティ侵害が発生していた企業に関して、その事象に関する情報開示のレベルを評価しています。

③侵害に伴う罰金・示談金

売上に対する罰金・示談金の大きさによって、情報セキュリティ侵害に応じて発生した処遇の深刻度を評価しています。

④侵害に関する保険加入

企業が情報セキュリティ侵害に関する保険に嵌入していることを評価しています。これらの保証は、一般的に損害賠償責任や事故対応費用等を補償します(*23)。

⑤侵害が発生していない期間

最後に情報セキュリティ侵害が発生してからの期間を月単位で評価しています。

その他議論・検討段階のESG評価項目

以下では、情報セキュリティの文脈において議論が進んでいるテーマについて紹介します。現在はESG評価機関によって導入されていないものの、将来的に情報セキュリティの評価項目の一部に含まれる可能性があります。

CISO(Chief Information Security Officer、最高セキュリティ責任者)

CISOとは、企業・組織内において情報管理及びその運用を担当し、情報セキュリティを統括する責任者のことです(*24)。上記〈情報セキュリティガバナンス〉にて情報セキュリティの経営陣に関する評価項目を説明しましたが、CISO自体の評価については未だ言及されていません。

一方で、IPAによって発行されている「企業のCISOやCSIRTに関する実態調査」では、日本で64.3%、米国で78.8%、欧州で85.0%の企業がCISOを設置しており、この数値は増加傾向にあります。

従来は、情報システム部門やCIO(Chief Information Officer、最高情報責任者)等が情報セキュリティ対策を先導するケースが見受けられましたが、効果的な情報セキュリティ対策を実施するにあたり、開発部門や社内システムのユーザー等、部署間を組織横断的に繋いで対策の取り組みを全社的に広げるCISOの存在が重要となっています(*25)。

サプライチェーンセキュリティリスク

世界規模での分業体制が多くの分野で進む中、多様な地域の多くの企業が生産等に関与することで生まれる新たなリスクがサプライチェーンリスクです(*26)。

IPA(Information-Technology Promotion Agency、情報処理推進機構)の「情報セキュリティ10大脅威2021」では、企業向けの脅威第4位として「サプライチェーンの弱点を悪用した攻撃の高まり」が挙げられています(*27)。

一方、同じくIPAが2020年に実施した「企業のCISO等やセキュリティ対策推進に関する実態調査」によると、サプライチェーンセキュリティ対策は、多くの企業で「契約事項へのセキュリティ要求事項の追加」等に留まっており、「チェックシートによる委託先管理」「技術的対策」といった実効的な対策を実施している企業は少ないのが現状です(*28)。

サプライチェーンに対するセキュリティリスクへの理解度は高まっている一方で対策が不十分な企業が多く、その重要性からESG指標に組み込まれる可能性があると言えるでしょう。

ESG情報を自社の企業価値向上に効率的に繋げるために

本記事で取り上げたように、既存のESG指標間でのばらつきや先進的なESG指標を把握することは重要です。またESG経営や投資を通じて、自社の企業価値を高める機会を増やし、あるいは企業価値を毀損するリスクを低減したいと考えておられる企業は多数あるかと思います。ではどうやってその機会やリスクを低減することができるでしょうか。

まずは、その機会やリスクを正しく把握することが非常に重要になります。但し、正しい把握のためには長期的利益の観点で、自社だけではなく、他社や他業界を含めた多数のESGデータを比較分析していくことが必要になります。

他方、ESG指標は代表的なものだけでも国内海外に数十とあり、それぞれの指標で数十以上の評価項目が設定されています。また、これらの指標基準も毎年アップデートされています。従って、国内海外のESGトレンド及びそこから波及する自社への事業リスクや機会を体系的に「広く」把握し続けることは多くの企業にとって容易ではありません。

また、把握したトレンドやESG指標を自社の事業データと関連付けて定量的に考察し、自社の事業戦略に繋げる「深い」分析も多くのデータ処理や工数が必要になります。ESG指数の「G」という個別要素に目を向けても、様々な指標と計算手法があり、分析が複雑に構造化されています。

こうした「広く」「深い」分析アプローチを効率的に行うためには、各社がそれぞれで調べて対応するより、ノウハウを集約した専門家部隊が実行した方が不要な工程を削減し、また同じ工程を行う速度も速いため、極めて効率的かつ効果的となります。

本記事では1つのESGトレンド事例を抜粋して紹介しましたが、クオンクロップでは、外資系戦略コンサルティングファーム出身者を中心としたESG経営データ分析の専門家チーム及びAIを含む独自の分析ノウハウを活用し、各企業が「選ばれる」ために必要十分なESG活動量を把握し改善を支援する「ESG/SDGs経営度360°診断&改善支援」などのサービスを提供しております。

ESG経営分析のチームが社内に既にあり、ESG経営を既に推進している企業様における分析の効率化のみでなく、ESG経営分析のチームは現状ないものの、これからESG経営に舵を切る必要性を感じておられる、比較的企業規模が小さい企業様に対しても活用いただけるサービスです。ESG経営の効率的な加速のための、科学的かつ効率的な分析アプローチにご関心のある企業様は、是非クオンクロップまでお気軽にお問い合わせください。

クオンクロップESGグローバルトレンド調査部

*1

https://www.msci.com/documents/1296102/21901542/MSCI+ESG+Ratings+Methodology+-+Exec+Summary+Nov+2020.pdf

*2

https://www.sustainalytics.com/esg-data

*3

https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-2.html

*4

https://www.jpx.co.jp/corporate/sustainability/esgknowledgehub/esg-rating/04.html

*5

https://portal.csa.spglobal.com/survey/documents/SAM_CSA_Companion.pdf

*6

https://www.dbj.jp/sustainability/collaboration/initiative/gresb.html

*7

https://documents.gresb.com/generated_files/real_estate/2021/real_estate/scoring_document/complete.html#management-policies

*8

https://smbiz.asahi.com/article/14360158

*9

https://www.bridgestone.co.jp/corporate/news/2021043001.html

*10

https://www.issgovernance.com/file/products/qualityscore-techdoc.pdf

*11

https://www.meti.go.jp/policy/netsecurity/downloadfiles/securty_gov_guidelines.pdf

*12

https://cybersecurity-jp.com/column/35915

*13

https://www.jqa.jp/service_list/management/service/iso27001/

*14

https://privacymark.jp/system/about/outline_and_purpose.html

*15

https://cybersecurity-jp.com/column/35915

*16

https://www.jqa.jp/service_list/management/service/iso27001/

*17

https://www.manageengine.jp/solutions/nist_publications/nist_csf/lp/

*18

https://www.newton-consulting.co.jp/itilnavi/guideline/fedramp.html

*19

https://www.newton-consulting.co.jp/itilnavi/column/cloud_security_guideline.html#contents2

*20

https://www.ipa.go.jp/security/publications/nist/fisma.html

*21

https://docs.microsoft.com/ja-jp/compliance/regulatory/offering-hitrust

*22

https://www.lrm.jp/security_magazine/about_is-incident/

*23

https://www.tokiomarine-nichido.co.jp/hojin/baiseki/cyber/

*24

https://www.lrm.jp/security_magazine/ciso/

*25

https://yamory.io/blog/ciso-in-the-organization/

*26

https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd134410.html

*27

https://www.ipa.go.jp/security/vuln/10threats2021.html

*28

https://www.ipa.go.jp/files/000081199.pdf

    Contact お問い合わせ

    会社名必須
    ⽒名
    メールアドレス必須
    電話番号
    題名必須
    メッセージ本⽂