サイバーセキュリティリスクと内部統制におけるITへの対応

企業会計審議会より、令和5年（2023年）4月7日付で「内部統制の基準の改訂」（参考文書1を参照）が公表され、令和6年（2024年）4月1日以後開始する事業年度から適用されて1年以上経過しました。主な改訂点とその考え方では、「ITへの対応」について、「サイバーリスクの高まり等を踏まえた情報システムに係るセキュリティの確保が重要であることを記載した」と明記されていますが、具体的な内容は示されていないため、各社で検討し、対応されているのではないでしょうか。

また、監査実務では、日本公認会計士協会の監査基準報告書315「重要な虚偽表示リスクの識別と評価」（参考文書2を参照。以下「監基報315」という）において、サイバーセキュリティリスクについて、「ITの利用から生じるリスクはサイバーセキュリティに関連して識別されることもある」（A162項）と言及され、「IT環境の理解の考慮事項の例」（付録5）では「サイバーリスクに対する脆弱性」が挙げられていますが、「サイバーセキュリティリスク」に対して詳細には触れられていません。

一方、監査実務上は強制力のない研究文書という位置付けですが、日本公認会計士協会の「テクノロジー研究文書10」（参考文書3を参照）では詳細な記載があり、参考になることでしょう。

本コラムでは、サイバーセキュリティリスクに対する内部統制の制度対応について、実務対応の参考としてポイントを説明します。

• 内部統制の制度対応におけるサイバーセキュリティリスクとは

  内部統制の制度対応においては、「財務報告に影響する」サイバーセキュリティリスクが対象になります。事業活動に影響する場合などもありますが、範囲や視点の前提を整理して検討することが必要です。
  例えば、サイバー攻撃により、財務報告にかかるデータが利用できなくなる、改ざんされるなどは、財務報告に直接影響するサイバーセキュリティリスクに該当するでしょう。一方、サイバー攻撃によって財務報告にかかるデータが直接、攻撃を受けない場合でも、マルウェアへの感染などによって、財務報告にかかるデータに影響が生じる可能性も十分、検討しておく必要があります。

• サイバーセキュリティリスクへの対応と内部統制の不備の関係

  インシデントの発生は直ちに内部統制の不備とはなりませんが、内部統制の不備が存在している可能性があります。
  内部統制の不備が存在している可能性の具体例として、「テクノロジー研究文書10」では、サイバーセキュリティリスク対応の前提となるリスク評価が不十分であった可能性、リスクの再評価が適時・適切に実施されていなかった可能性、リスク対応を適時に見直していなかった可能性、リスクを軽減するIT全般統制の不備の可能性について説明されています。また、「監基報315の付録6」の例示をもとに、IT全般統制の不備となり得る例が考察されています。

• サイバーセキュリティリスクへの対応のポイント

  サイバーセキュリティリスクは、全社に影響を及ぼす可能性が高いため、全社的な取り組みが重要になります。内部統制の制度対応上は財務報告への影響が中心となりますが、事業活動への影響なども想定して、全社的な対応に取り組まれているケースも多いと思います。

サイバーセキュリティリスクへの対応として、基本的な対応となるガバナンス、体制、管理プロセスを中心にポイントを説明したいと思います。

1. ガバナンス

   経営者は、サイバーセキュリティリスクの重要性を認識し、サイバーセキュリティリスクに対する方針を決めるとともに、モニタリングにも積極的に関与する必要があります。
   また、サイバーセキュリティリスクへの対応は、収益・利益を直接生み出さないものの、組織・体制の人的資源や必要な投資の経済的資源など、経営者は経営資源の配分に対して意思決定していく必要があります。

2. 体制

   サイバーセキュリティリスクに対応するための中心となる責任者、実務担当を明確にしておくことが重要です。社内外のIT環境を把握・理解し、サイバーセキュリティリスクの識別、評価、対応の中心的役割を果たし、複数部署が関係する場合は取りまとめを行い、全社的な対応を行うことが必要です。
   また、平時におけるサイバーセキュリティリスク対応の運用や、有事におけるエスカレーションや対策の実施などにおいても中心的な役割を果たしていくことが求められます。
   さらに、サイバーセキュリティリスクは日進月歩で変化が大きいことから、社内外から情報収集を行うとともに、経営層を含めて教育・研修や啓発を推進していくことが必要です。

3. 管理プロセス

   サイバーセキュリティリスクへの対応は、基本的にはリスク管理プロセスの一環として、IT環境の現状を把握した後、サイバーセキュリティリスクの識別、リスクの評価、リスクへの対応を検討し、リスク管理の計画策定と実行、必要な見直し・改善のフィードバックのPDCAを実行していくことが必要です。
   ISO27001に基づいた情報セキュリティのマネジメントシステムを導入し、維持しているケースも多く見られます。

4. その他の留意点

   近年、クラウドサービスなどの外部サービスの活用が一般的となってきました。利用する外部サービスは、自社の管理の範囲外となりやすいため、外部サービスを提供する事業者のセキュリティ対策などを確認しておくことが必要です。例えば、ISO27001の取得状況や、いわゆるSOC2報告書（クラウドサービス事業者などの受託会社が委託されている業務で、セキュリティ、可用性、処理の完全性、機密保持、プライバシーに関連する内部統制について保証を受けた報告書）が提供されているか否かなどで確認できる場合もあります。
   また、業務を外部委託している場合も同様に、外部委託先のセキュリティ対策の状況を確認しておくことが必要です。

近年、監査実務指針等の改正により、サイバーセキュリティリスクに対して、財務報告に影響するリスクの識別、リスク評価、リスク対応に関する監査手続も強化されることが想定されます。「テクノロジー研究文書10」においても、サイバーセキュリティインシデントに起因する財務報告に関連したリスクの識別、評価、対応を中心に、研究文書として明示されたことから、今後、留意する必要があります。

本コラムでは、サイバーセキュリティリスクに対して、全社的な視点からの基本的な対応のポイントを説明させていただきましたが、まずは最初の取り組みとして、基本的な対応についての点検や対策の実施を進めていくことが必要です。

（参考文書）

注：上記の参考文書は、本コラム執筆時点で公表されている文書になります。