三井物産が警鐘を鳴らす日本企業のサイバー対策 実は｢サイバーセキュリティー業界の老舗｣の商社

顧客向けのサービスに支障が生じたほか、経理関連データでもアクセス障害が起こった。その影響で、4月初旬に予定していた2024年2月期決算の発表は6月末と大幅に遅れ、有価証券報告書の提出も7月末となった。

有報と同時に公表した「財務報告に係る内部統制の開示すべき重要な不備」では、「サイバーセキュリティーに関する全社的な内部統制について重要な不備があった」とし、「2024年2月末時点の当社の財務報告に関する内部統制は有効ではなく、開示すべき重要な不備が存在すると評価した」と記載した。

イズミ幹部は「東証基準に沿い、内部統制の問題は開示すべき重要な事項と判断した」と話す。

ところが、ランサムウェアの攻撃を受けて決算発表を遅延した企業をたどると、内部統制報告についてはいっさい言及がなく、「監査上の主要検討事項」にも記載がない企業が少なくない。「喉元過ぎれば熱さを忘れる経営者が一定数いる」（増田氏）というのが現状だ。

こうした対応は今後、許されなくなる可能性がある。日本の上場企業やそのグループ会社に、内部統制の整備・運用および評価結果の報告を求める「内部統制報告制度（J-SOX）」が昨年4月、15年ぶりに改訂された。今年4月以降に始まった事業年度から適用されている。

財務報告に不正や誤りが起こらないよう信頼性を確保するための制度だが、情報セキュリティーの重要性も強調されている。

実施基準に加わったのは、「クラウドやリモートアクセス等の様々な技術を活用するに当たっては、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティーの確保が重要である」との記述だ。

アメリカでは4営業日以内の開示を義務づけ

またアメリカでは、2023年末発効の証券取引委員会（SEC）の新規制で、すべての上場企業に重要なサイバー被害について4営業日以内に開示することを義務づけた。個人情報流出の有無についても曖昧な開示は許されない。年次報告書でもセキュリティー対策の開示が義務づけられた。

増田氏は、「全社で網羅的にサイバー攻撃に対するリスクを分析して対策が講じられているかが問われている」と指摘する。そのうえで情報開示についても、「日本の規制当局は欧米の規制を見ながら、数年遅れで日本に導入する傾向がある。国内でも2～3年後には欧米並みの規制強化の波が来るのではないか」と予測する。

国内外でサイバーセキュリティーへの対策は優先度の高い経営課題となった。三井物産セキュアは年間30～40人の高度人材を採用して国内需要の取り込みを急ぐとともに、三井物産は海外でのM&Aを模索しながら世界のサイバーセキュリティー市場の成長取り込みを図る。

森 創一郎：東洋経済 記者