耐性力のある強い企業へ

ITセキュリティリスクもステークホルダーと対話を

――政府は、企業がサイバー攻撃を受けた場合に想定される経営上のリスクを有価証券報告書（有報）などに開示する仕組みなどについても検討を始めています。

伊藤 興味深いデータがあります。私の研究室出身のある准教授の研究によれば、情報漏洩などの不祥事を起こした企業のうち、有報などで事前にリスクの有無や対応策などについて情報開示していた企業は、何も開示していなかった企業に比べ、一時的に下落した株価の戻りが早かったというのです。

アナリストや投資家は、企業の将来性に関心があります。有報などにITセキュリティリスクに関する記載があれば、危機耐性力があると判断し、企業価値を大きく毀損することはないと安心してもらえるのでしょう。大切なのは、このようなステークホルダーとの対話です。ただし、これまでは、開示報告書のフォーマットや記述方法が企業ごとに異なっていたり、無形資産（非財務情報）の開示が不十分だったりしました。そこで、2013年には国際統合報告評議会（International Integrated Reporting Council：IIRC）から、国際統合報告のフレームワークも発表されました。

このほか、国内でも、機関投資家を対象とする「日本版スチュワードシップ・コード」がすでに始まっており、投資される側の企業を対象とする「コーポレートガバナンス・コード」の原案も取りまとめられています。

私は昨年、｢持続的成長への競争力とインセンティブ〜企業と投資家の望ましい関係構築〜」プロジェクトの座長として最終報告書（伊藤レポート）をまとめました。今後はこれまでとは比較にならないくらい、投資家と経営者の対話の機会が増えるでしょう。

――対話を行う機会が増えるとなると、経営者の説明次第で、情報セキュリティリスクに対する知識や危機耐性力が如実にわかってしまうことになりそうです。

伊藤 「ITはわからないので、部下が説明します」というのでは、投資家の信頼も得られません。

もちろん、経営者が社内のあらゆるシステムに精通しておく必要はありませんが、万一のときにどのような行動をしようと考えているのか、自分なりのシナリオを描いておくことが必要です。社外との対話だけでなく、最高財務責任者（CFO）や最高情報責任者（CIO）、さらには現場のスタッフと日ごろから対話し、ビジョンを示して自らの言葉で語れるようにしておくことも大切です。

日本の企業組織は縦割り化されているところが多いのですが、情報セキュリティの課題は全社的な「横串」を通さなければ解決できません。まさに経営者の仕事と言えます。日本企業を取り巻く環境が劇的に変化し、リスクもグローバル化、多様化が進んでいます。「ピンチをチャンスに」と言いますが、この変化にスピーディーに、前向きに対応し、競争力を築いてほしいと願っています。