★☆★JNSAメールマガジン 第201号 2020.12.11☆★☆

こんにちは
JNSAメールマガジン 第201号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン 
https://www.jnsa.org/aboutus/ml.html#passed

コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。

今回のメールマガジンは日本IT団体連盟サイバーセキュリティ委員会の外村 慶様にご寄稿いただきました。

【連載リレーコラム】
サイバーセキュリティ情報開示に関する調査結果

一般社団法人日本IT団体連盟
                    サイバーセキュリティ委員会
                    企業評価分科会主査
外村 慶(PwCコンサルティング)

IT産業に関わる日本最大級のIT団体の連合体「日本IT団体連盟(以下、IT連)」は、2020年11月25日、日経225企業のサイバーセキュリティの取組姿勢に関する調査報告書を公開しました*。今回は、この調査の目的と結果をお伝えします。
* https://www.itrenmei.jp/topics/2020/3678/

■情報開示調査の目的
昨今、サプライチェーン全体において企業の社会的責任であるセキュリティレベルの向上が政府や民間企業、株主等から求められています。しかしながら、セキュリティレベルを可視化できる情報は限られており、他社と比較/評価することは困難です。そこで、IT連では各企業のセキュリティ対策状況を咀嚼した内容を伝達し、比較しやすい情報に加工分析し、その結果として社会全体の情報開示を推進する試みに着手しています。
第一回目となる2020年の調査では、日経225企業を対象にし、有価証券報告書や認証取得情報等の公開情報を収集し、IT連独自の調査項目をベースにセキュリティ取組み度合いを加点しました。
このような調査を行うことで、サイバーセキュリティ対策の情報開示を積極的に行なっている企業をピックアップすることができました。また、業界別にも積極的に情報発信している業界と消極的な業界が明確に分かれることがわかりました。IT連では、このような調査を広く公開することで、各企業がより積極的に情報開示することを狙っています。

■調査結果
【企業別(五十音順)】
セキュリティ対策について説明責任を積極的に果たしている企業の上位11社は以下の通りでした。この11社の情報開示の例は、報告書本文に掲載済みです。
https://www.itrenmei.jp/files/files202011251145.pdf

・(株)エヌ・ティ・ティ・データ
・オムロン(株)
・コムシスホールディングス(株)
・(株)コンコルディア・フィナンシャルグループ
・(株)スカパーJSATホールディングス
・J.フロント リテイリング(株)
・ソフトバンク(株)
・ソフトバンクグループ(株)
・(株)ディー・エヌ・エー
・日本電信電話(株)
・富士通(株)

【業界別】
また、業界別に分析すると、以下の傾向があることがわかりました。
・情報・通信業は情報開示に概ね積極的であった
・建設業は9社とも平均的に情報開示を行っていた
・保険業、銀行業は情報開示度合いにばらつきが大きい
・電気機器、サービス業、卸売業においても、情報開示度合いにばらつきが大きい
・電気・ガス業、陸運業、化学等の重要インフラ事業者では積極的な情報開示を行う企業は少ない

■本調査でクリアした課題
IT連サイバーセキュリティ委員会は2019年11月に設立し、企業評価分科会の活動を約1年間続けてきました。調査を進めるにあたり、特に大きな課題は3つありました。
1つ目は、企業の何を評価するのかという点です。当初は、経営者や担当者等の個人を評価する、施策やアイデアを募集し評価する等の意見がありました。
議論を重ねたのち、サプライチェーン全体の底上げを図るためには企業の取組みや姿勢を評価する必要があるという結論に達しました。そこで2020年の調査では、調査対象を日経225企業とし、調査した情報は有価証券報告書や認証取得情報等のインターネットで調査可能な情報としましたが、今後は対象企業を拡大し、非公開情報もIT連が入手し評価することを目指しています。
2つ目の課題は、評価されることで当該企業がサイバー攻撃のターゲットとなる可能性が強まるのではないかという懸念です。この懸念に対しては、IT連は企業の技術対策を評価するのではなく、株主や顧客等に公開している企業の取組みや姿勢を評価すると位置づけることで解決しました。なお、今回取り上げた上位11社には、この主旨を伝えることで懸念点を払しょくしています。
最後は、財務力のある大企業ばかり評価されるのではないかという点です。業種毎に評価を分けることや調査項目毎に重み付けを変える等の検討を行いました。様々なシミュレーションの結果、今回は日経225の年間売上高の中央値である1兆円を基準として、1兆円以上から5社、1兆円未満から6社を選定することで、大企業中心にならないようバランスを取りました。

なお、次回以降は対象企業を拡大し、非公開情報もIT連が入手し評価することを予定しています。更には「サイバー・イニシアチブ東京」(日本経済新聞社・日経BP主催)でサイバーセキュリティへの取り組みに優れた企業を表彰する新たな制度「サイバー・インデックス(仮称)」にも調査データの提供等で協力する予定です。

 

#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

<ワンクリックアンケートお願い>
今回のメールマガジン第201号の感想をお寄せください。
https://ux.nu/wM1jv
※googleアンケートフォームを利用しています。


☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

jnsa-mail
============================================================

☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>

*************************************
JNSAメールマガジン 第201号
発信日:2020年12月11日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C) Japan Network Security Association. All rights reserved.