三井物産が警鐘を鳴らす日本企業のサイバー対策 実は｢サイバーセキュリティー業界の老舗｣の商社

ところが、ランサムウェアの攻撃を受けて決算発表を遅延した企業をたどると、内部統制報告についてはいっさい言及がなく、「監査上の主要検討事項」にも記載がない企業が少なくない。「喉元過ぎれば熱さを忘れる経営者が一定数いる」（増田氏）というのが現状だ。

こうした対応は今後、許されなくなる可能性がある。日本の上場企業やそのグループ会社に、内部統制の整備・運用および評価結果の報告を求める「内部統制報告制度（J-SOX）」が昨年4月、15年ぶりに改訂された。今年4月以降に始まった事業年度から適用されている。

財務報告に不正や誤りが起こらないよう信頼性を確保するための制度だが、情報セキュリティーの重要性も強調されている。

実施基準に加わったのは、「クラウドやリモートアクセス等の様々な技術を活用するに当たっては、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティーの確保が重要である」との記述だ。

アメリカでは4営業日以内の開示を義務づけ

またアメリカでは、2023年末発効の証券取引委員会（SEC）の新規制で、すべての上場企業に重要なサイバー被害について4営業日以内に開示することを義務づけた。個人情報流出の有無についても曖昧な開示は許されない。年次報告書でもセキュリティー対策の開示が義務づけられた。

増田氏は、「全社で網羅的にサイバー攻撃に対するリスクを分析して対策が講じられているかが問われている」と指摘する。そのうえで情報開示についても、「日本の規制当局は欧米の規制を見ながら、数年遅れで日本に導入する傾向がある。国内でも2～3年後には欧米並みの規制強化の波が来るのではないか」と予測する。

国内外でサイバーセキュリティーへの対策は優先度の高い経営課題となった。三井物産セキュアは年間30～40人の高度人材を採用して国内需要の取り込みを急ぐとともに、三井物産は海外でのM&Aを模索しながら世界のサイバーセキュリティー市場の成長取り込みを図る。

著者フォローすると、森 創一郎さんの最新記事をメールでお知らせします。