はじめに

近年、投資家や社会から企業に対しESG(環境・社会・ガバナンス)への取り組みが強く求められています。サイバーセキュリティは以前はESGと結びつけて語られることが少なかったものの、今や「ガバナンス」や「社会(信頼)」の主要要素としてその重要性が高まっています。本記事では、セキュリティをESG経営の文脈でどう位置付け、企業価値向上や競争優位に繋げるかを考えてみます。

サイバーセキュリティはESGの一部

ESGの中でサイバーセキュリティが該当するのは「Social(社会)」および「Governance(ガバナンス)」です。社会面では、顧客や取引先など利害関係者の情報を守ることが企業の社会的責任であり、重大な情報漏洩は社会への背信行為となります。またガバナンス面では、取締役会がサイバーリスクを認識・管理しているかが企業統治の質に直結します。

世界経済フォーラム(WEF)も2021年に「サイバーセキュリティのための取締役会ガバナンス原則」を公表し、経営陣・取締役会レベルでサイバーリスクを統治する重要性を訴えています。KPMGのCEO調査でも、ESG課題の中で「サイバーセキュリティやプライバシー」は成功に極めて重要とされています。環境(E)への注目が高い影に隠れがちでしたが、サイバー脅威が頻発し事業継続や企業評判に影響を与える現代では、セキュリティはESG経営発展の鍵と位置付けられ始めています。

実際、ESG格付け機関もサイバーセキュリティ対応状況を評価項目に加える動きがあります。PwCによれば、ESG格付けでプライバシー保護や情報セキュリティの比重が増しており、対応が不十分だとスコア低下につながる可能性があるとのことです。つまり、セキュリティはESG投資の観点からも無視できない要素となっています。

ESG経営におけるセキュリティ取り組み

ESG経営の一環としてセキュリティを強化するには、以下のような取り組みが求められます。

  • 方針と責任の明確化
    • 経営トップが「情報セキュリティは経営の最優先事項の一つ」と位置付け、社内外に方針を宣言します。また取締役会レベルでサイバーリスクを定期議題とし、CISO等に定期報告させる仕組みを設けます。取締役会自体も少なくとも半年ごとにセキュリティ概況を把握すべきとの提言もあります。
  • リスク管理とKPI
    • サイバーセキュリティリスク管理に関するKPIを設定し、経営リスク委員会などで経営者に状況を報告します。例えば「重要システムのインシデント対応訓練実施率」「検出から封じ込めまでの平均時間(MTTR)」などを経営指標化し、改善状況をモニタリングします。
  • 情報開示の充実
    • ESG情報開示の中で、サイバーセキュリティ対策やインシデント対応能力について積極的に公開します。経団連のサイバーリスクハンドブックでも、サイバー事項を含む情報開示が企業価値向上につながるとされています。米国ではSECがサイバーリスク開示を義務化する動きもあり、透明性は投資家信頼に直結します。
  • サプライチェーン全体の取組
    • ESGではサプライチェーン全体での公正性・安全性が問われます。自社だけでなく取引先のセキュリティも評価・支援し、チェーン全体のレジリエンスを高めることが社会的責任となります。
  • 教育と文化
    • 社員教育や内部監査でセキュリティ意識を醸成し、「倫理・カルチャー」の一部として定着させます。たとえば社内表彰でセキュリティ貢献者を称えるなど、インセンティブを与えることも有効です。

競争優位への繋げ方

ESGに根差したセキュリティ強化は、長期的には競争優位につながります。なぜなら、堅牢なセキュリティ体制は信頼という無形資産を生み、それがブランド価値や顧客ロイヤルティ、投資家評価を高めるからです。

例えば、グローバルな取引では「情報セキュリティ格付け」を参考にパートナー選定するケースもあり、セキュリティ水準が高い企業はビジネスチャンスを得やすくなります。ISOやNIST準拠を果たしていれば海外企業とも取引しやすく、これが結果として市場拡大を後押しするでしょう。

また投資家目線でも、サイバーリスク管理がしっかりしている企業は経営の持続可能性が高いと判断され、ESG投資の資金が集まりやすくなります。世界の機関投資家がESG評価にセキュリティを織り込む動きがあり、ここで高得点を取れば低コストでの資金調達や株価向上というメリットも期待できます。

さらに、就職市場においても「セキュリティ意識の高い会社で働きたい」という人材の呼び込みにつながります。DX人材などは自身の働く企業が社会から信用されることを重視する傾向があり、ESG的に優れた取り組みは優秀人材の確保にもプラスです。

まとめ

セキュリティとESG経営は、もはや別々の文脈では語れない時代に入りました。セキュリティはガバナンス強化の一環であり、社会からの信頼を得る手段です。経営層はこれを正しく位置づけ、ESG戦略に組み込むことで、リスク低減と企業価値向上の二兎を得ることが可能となります。

ESG経営発展の鍵としてサイバーセキュリティ戦略を据え、環境や社会貢献だけでなくデジタル社会での安全性確保にもコミットする企業こそ、これからの市場で信頼され選ばれる存在となるでしょう。サイバー脅威が増す中で強固なセキュリティ体制を築くことは、ひいてはESGが目指す持続可能な企業の姿そのものと言えます。「環境に優しく、社会に信頼され、統治が行き届いた企業」——その実現にセキュリティが大きく寄与することを、今改めて認識したいものです。