現在のデジタル経済において、企業は「環境・社会・ガバナンス(ESG)の目標を達成すると同時に、強固なサイバーセキュリティとプライバシー対策を確保する」という難しい課題に直面しています。これらの分野に関する懸念は、数年前から世界中で最大のリスクの1つと認識されています※1。
「KPMGグローバルCEO調査2022」によると、ESGとサイバーセキュリティは企業の成功にとって極めて重要であることがわかります。ESG課題において、環境は非常に注目されてきましたが、サイバーセキュリティやプライバシーといった他の要素は十分に整備されていませんでした。サイバー脅威の頻度が急増し、事業運営、継続性、企業の評判に影響を及ぼしているという事実を考慮すると、これは懸念すべきことだと言えます。
本稿では、ESGとサイバーセキュリティの関連性を探り、これらの問題をともに管理することで得られるメリットや、統合的なアプローチがどのように企業の安全保障に役立つかを論じます。
環境にかかる課題
重要インフラは新たなリスクに直面している
ESGといえば、環境が重要なテーマですが、ESGとサイバーセキュリティとの関連はあまり目立たないものの一段と重要になってきています。
「KPMGグローバルサステナビリティ報告調査2022」によると、64%の企業において気候変動が自社にとってのリスクだとの回答を得ています※2。
発電所や水処理施設などの重要なインフラを標的として、環境に悪影響を与えるサイバー攻撃が増えており、産業用制御システムに対する攻撃は、機器の誤動作や環境破壊、危険を引き起こす可能性があります。企業は、高度で相互接続された運用技術に対する脅威から重要インフラを守るため、強力なサイバーセキュリティを必要としています。このようなインシデントが一般的になるにつれ、規制当局の注目度も高まることが予想されます。
安全保障を脱炭素、CO2削減、循環型経済とリンク
脱炭素化とCO2削減のための大半の計画は、デジタルトランスフォーメーションと、エネルギーの生産、分配、消費を監視・管理するスマートテクノロジー、自動化システムの適用に依存しています。ただ、こうしたソリューションはサイバー犯罪の新たな機会を生み出しかねず、高度なサイバーセキュリティとデータ保護が必要となります。同様に、循環型経済を支援するために新しい技術ソリューションを導入するなどの環境に配慮した行動を奨励するために多額の金融取引を行うと、新たな詐欺の懸念も生じます。
これらのプログラムにサイバーセキュリティを組み込むことで、サイバー脅威を予測し、安全なオペレーションを確保できます。同時に、データの最小化などのデータ保護の原則を守ることで、データ漏えいのリスクを低減し、法令を遵守できます。
デジタル経済はデータ処理の急拡大をもたらし、その結果、世界中にデータセンターが建設され、犯罪者は、データセンターやクラウドサービスのセキュリティの弱点を突き、暗号通貨のマイニングを含むコンピューティングリソースを盗む機会を見出しています。また、残念ながら、これらのシステムの使用は、エネルギー消費とカーボンフットプリントに悪影響を及ぼします。たとえば、障害への耐性を向上させるために予備のデータセンターを持つなど、ベストプラクティスのサイバーコントロールを実施することは、リソースとエネルギーの使用量を増やすことにつながります。
現在の組織は、サイバーレジリエンスの長所と短所の両方を考慮し、サイバーセキュリティと ESG、両方の目標のバランスを取る必要があります。
社会にかかる課題
社会のデジタル環境に与える影響
社会への配慮もESGの重要な側面です。サイバーリスクは、特に世界的なサイバー攻撃の頻度や影響が大きくなるにつれ、社会に大きな影響を与える可能性があります。アプリケーションやシステムは、私たちが利用する個人用デバイスやソーシャルメディアから、職場やライフスタイルを支える高度な自動化プラットフォームやシステムまで、今や生活のあらゆる場面に組み込まれています。前述の「KPMGグローバルサステナビリティ報告調査2022」によると、企業の49%がソーシャルな要素をビジネス上のリスクとして認識していることがわかりました※3。
データ保護が重要
こうした統合は、個人情報の盗難、金銭的な詐欺、その他の社会的被害をもたらす機密情報の盗難といったサイバーリスクとなる可能性があります。また、サイバー攻撃は重要な医療、交通、緊急サービスを混乱させる可能性もあります。このようなリスクに対処するため、組織はデータを保護するための強力なプライバシーおよびサイバーセキュリティ対策が不可欠です。さらに、重要なサービスに対するサイバー攻撃の影響を最小限に抑えるため、強固なインシデント対応計画を策定する必要があります。
ランサムウェア攻撃が急増
ランサムウェア攻撃は世界的に増え続けており、組織の業務や評判をたちまち混乱させる可能性があります。こうした深刻な状況のなか、多くの組織が身代金を支払う誘惑に駆られていますが、ランサムウェアへの支払いはさらなる犯罪を助長し、コストのかかるサイクルを生み出すだけと言えます。ランサムウェア攻撃に対抗するためには、最新のサイバーセキュリティ対策を導入し、社会的・経済的影響を最小限に抑える必要があります。
言論の自由が新たな脅威に直面
プライバシーとサイバーセキュリティは、言論の自由を守り、拡散するデジタルコミュニケーションチャンネルを確保する上で、極めて重要な役割を担います。法的保護、デジタル/メディアリテラシーの促進、オンライン空間におけるダイバーシティ&インクルージョンの支援も重要な対策です。暗号化技術は、意図した受信者だけが、盗聴や監視の心配なく情報にアクセスできます。サイバーセキュリティは、言論や表現の自由を促進するウェブサイトやオンラインプラットフォームを標的とした破壊的攻撃の影響を軽減するのにも役立ちます。
信頼醸成のための顧客情報の保護
プライバシー管理は、同意や知識なしに個人情報が悪用されるのを制限する上でも重要な役割を果たし、組織に対する社会的信頼を維持する上でも極めて重要です。EU一般データ保護規則(GDPR)のような規制が導入される前は、多くの企業・組織が「国民の個人データの所有権は自分たちにある」と考えていましたが、この規制が導入されたことで、状況は一変しました。個人は、企業がどのようなデータを保有しているかを知る権利やそのデータを削除してもらう権利など、自らの個人データに対する権利を持つようになりました。
AIとデータ倫理に関する新たな懸念
人工知能(AI)ツールを使えばデータ収集のスピードは上がりますが、アルゴリズムや機械学習による倫理的なデータ利用については疑問が残ります。バイアスは個人や社会全体に不当な影響を与える可能性があります。組織はどのようにリスクを評価し、処理するデータを保護するかによって、社会にプラスの影響もマイナスの影響も与え得ると言えます。EUのAI法のような新しい規制は「AIが有害ではない方法で使用されることを保証する」ことを目指すものです。
サイバー意識とリテラシーの向上
多くの企業が、自社の目的と社会的責任を強調し、サイバーセキュリティのリテラシーを促進する役割を担っていることを認識しています。こうした行動は、不正行為を防止し、ブランドへのロイヤルティを高め、サプライチェーン攻撃への露出を減らすのに役立ちます。
サイバー脅威に対する社会的な認識を高め、スキルの向上を支援し、職業としてのサイバーセキュリティを推進する、また、システムを完全に保護する能力を持たない組織を支援する、という慈善的な目的を追求する組織もあります。たとえば、サイバーセキュリティ啓発月間は、サイバーセキュリティに関する認識を高め、個人や組織がサイバーセキュリティの実践を改善するためのリソースを提供することを目的とした年次キャンペーンです。KPMGもこのキャンペーンには積極的に参加しています※4。
Global Cyber Day 2022(KPMG)
Global Cyber Day 2022(KPMG)
ガバナンスにかかる課題
変革期に着目すべき規制
ガバナンスはESGの第3の側面と言え、サイバーリスクはガバナンスに重大な影響を与える可能性があります。米国では、投資顧問会社に対するサイバーセキュリティリスク管理、戦略・ガバナンス・インシデントの開示、投資会社名の開示、ナスダックの取締役会に関する多様性規則など、業界や市場特有のサイバー規制が多数存在します。EUでは「一般データ保護規則(GDPR)」「デジタルオペレーショナルレジリエンス法(DORA)」「改正ネットワーク・情報システム指令(NIS2)」などがあります。
ESG関連規制としては、EUの「持続可能な金融情報開示規則(SFDR)」や「企業持続可能性報告指令(CSRD)」、米国の「気候変動に関連する開示に関する委員会のガイダンス」「気候変動に関連する開示の強化と標準化」などが挙げられます。
組織のプライバシー、サイバーセキュリティ、データ管理の実践の有効性を測定することは、内部および国境を越えて処理・共有するデータをどの程度適切に管理しているかを判断するのに役立ちます。
正確さが必須のESGデータと報告
ESGデータは主に4つの情報源(第三者データ、報告データ、派生・機能データ、会社所有の生データ)から入手されます。ESG報告や報告の保証に多大な努力が払われていますが、そのデータは正確かつ信頼・信用できるのか、疑問も残ります。
サイバーセキュリティは、信頼できるESG報告を確保する上で極めて重要な要素であり、収集中、輸送中、分析・報告後のデータをそのソースで保護するように働きます。さらに、ESGレポートを作成する際に個人データが処理される場合には、データプライバシーの保護も必要です。
ESG報酬モデル、報告、データ収集には、データのモデリングや分析だけでなく、自動化されたプロセスも含まれます。正確な報告を確実にするためには、これらのプロセスが操作されたり偏ったりしないことが重要です。
サイバーセキュリティはESGの3つの側面すべてに関連するため、ESGのどの段階にある組織も、ESG報告の一環としてサイバー態勢の報告を検討すべきだと言えます。これは、顧客、従業員、社外のステークホルダーとの信頼関係を構築し、維持することにもつながります。
透明性に重点を置くSASB等の基準
サステナビリティ会計基準委員会(SASB)は、環境、社会、ガバナンスを含むサステナビリティ要因に関する報告について、業界特有の基準を提供しています。この基準は財務的に重要で、企業報告の透明性と比較可能性を高めることを目的としていますが、サステナビリティ担当のリーダーシップ層の代表を擁する企業は半数に満たないという報告もあります※5。
SASBが取り上げている持続可能性要因の1つにサイバーリスクがあり、これはテクノロジー・メディア・通信産業に該当しますが、他の多くのセクターにおいても言及されています。同箇所では、機密情報を危険にさらす可能性のあるさまざまなサイバー脅威を取り上げ、サイバーリスク管理に関するガイダンスを提供しています。
同様の基準であるグローバル・レポーティング・イニシアティブ(GRI)は、持続可能性報告に広く利用されています。GRI基準には、企業がサイバーセキュリティとデータプライバシー問題の管理をどのように開示すべきかについてのガイダンスが含まれます。
SASBとGRIは、サイバーリスクを持続可能性の重要な要素として含めることで、サイバー脅威が企業の財務実績、評判、長期的な持続可能性に大きな影響を与える可能性があると認識しています。サイバーリスク管理の実践を開示し、データセキュリティの方針と手順に関する情報を提供する企業は、投資家、顧客、規制当局を含むステークホルダーに対する透明性と説明責任を向上させることができます。しかし、持続可能性に関してリーダーシップレベルの代表者を置いている企業は半数に満たないようです※6。
信頼できるサービスを期待する顧客
顧客は個人情報や財務情報を保護してくれる信頼できる企業と取引する傾向が高いと言えます。これは、機密データや知的財産の保護を重視する法人顧客に特に当てはまります。多くの業界にはサイバーセキュリティに関する規制要件があり、これらの規制を遵守する組織は利害関係者から好まれています。
「KPMGグローバルサステナビリティ報告調査2022」によると、ガバナンス・リスクを開示している企業は半数に満たないという結果が出ています※7。
個人顧客・法人顧客のいずれも、購入するサービスがESGとサイバーセキュリティの期待に応えていることを確認したいと考えています。企業のESGへのコミットメントは、評判の向上、イノベーションの推進、リスク管理、コンプライアンスの確保、資本へのアクセスの改善など、売上を向上させる要因となり得るため、ビジネスを行う際には、企業のプライバシーとサイバーセキュリティの実践がいかに持続可能であるかを考慮することが重要です。
ESGとセキュリティの新たな関係を構築する
サイバーリスクとESGリスクの密接な関係を探ることで、組織は大きな利益を得ることができます。両分野はリスクと機会を特定・管理することに重点を置き、製品やソリューションの向上やより良い社会の実現につながります。この関連性は、組織の測定と比較における透明性と公平性の向上に努めるESG格付けプロバイダーを含め、市場でますます認識されるようになっています。
重要インフラ、産業制御システム、顧客データを保護するために、企業は強固なプライバシーとサイバーセキュリティ対策を講じる必要があります。良いニュースとしては、多くの企業が既に実施しており、ESGパフォーマンスにプラスの影響を与えると想定されています。さらに、企業は持続可能なテクノロジー、環境負荷の低減とサイバーリスクの最小化を支援するソリューションに投資すべきと言えるでしょう。
最後に、企業はプライバシーとサイバーセキュリティのリスク管理を監督し、法的・規制的要件へのコンプライアンスを確保するための強力なガバナンス構造を持つべきです。ESGの文脈でサイバーリスクに取り組むことで、企業はより広範な社会的・環境的義務を果たしながら、事業、顧客、評判を守ることができるでしょう。
KPMGの支援
※1「The Global Risks Report 2023 18th Edition」(WORLD ECONOMIC FORUM)
※2、3、5、6、7「KPMGグローバルサステナビリティ報告調査2022」日本版(KPMG)
※4 Global Cyber Day 2022~世界66の国と地域で児童・生徒を対象にサイバーセキュリティ教育を実施~
本稿は、KPMGインターナショナルが2023年8月に発表した「Cybersecurity in ESG」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
全文はこちらから(英文)
