第42回 有価証券報告書によるサイバー事故リスクの記述

金融証券取引法では、上場企業や証券を発行している企業で一定の条件を満たしている場合、有価証券報告書を提出し、投資家の投資判断を助ける企業の状況を示す情報を開示しなければならない、と規定している。事業年度ごとなので、毎年の報告である。2004年より前は、きちんと製本した「有価証券報告書」という紙の報告書だったが、2004年から、電子文書(HTML形式)にして金融庁管轄の「開示用電子情報処理組織(EDINET)」に提出することが義務付けられている。

会社のWebサイトにも掲示される。EDINETへのリンクを張ることで代用できるとされている。電子提出以前は、紙の有価証券報告書の入手、閲覧が限られた場所でしか行えず不便だったが、現在では、当該企業のサイトに行けば手軽に有価証券報告書を点検できるようになった。

届け出が義務付けられたのは、証券取引所に上場している会社、JASDACなどの新興市場で株式公開している会社、過去5年の間に、株券または優先出資証券の保有者が1000人以上になっている資本金5億円以上の会社、等々である。多くの投資家から資金を調達しているか、その証券が公開市場で取引可能な会社ということになる。その投資家を保護するために、事業内容を適切に開示するよう義務付けたものである。

内容が事実と異なって、それを知らずに投資を行って損失を被った投資家は、有価証券報告書作成時の代表者や役員、監査法人はに対して「有価証券報告書虚偽記載」の責任で損害賠償を請求できる。オリンパスの事件では巨額の損害賠償が株主から請求された。取締役、監査法人の責任の重さが認識された事件だ。

その有価証券報告書は「企業の概況」「事業の状況」「設備の状況」「提出会社の状況」「経理の状況」「提出会社事務の概要」「提出会社の株式事務の概要」「提出会社の参考情報」の項目について報告する。「事業の状況」の中に「業績等の概要」に並んで、「事業等のリスク」の記述項目がある。

情報開示が詳細にわたっているトヨタ自動車でみると(2013年度報告)、「事業等のリスク」の中で、さらに、「市場および事業に関するリスク」「金融・経済のリスク」「政治・規制・法的手続・災害等に関するイベント性のリスク」を記述している。サイバーリスクについては「市場および事業に関するリスク」の中で「デジタル情報技術への依存」として項目を立てている。

以下、引用すると
「トヨタは、機密データを含む電子情報を処理・送信・蓄積するため、または製造・研究開発・サプライチェーン管理・販売・会計を含む様々なビジネスプロセスや活動を管理・サポートするために、第三者によって管理されているものも含め、様々な情報技術ネットワークやシステムを利用しています。さらに、トヨタの製品にも情報サービス機能や運転支援機能など様々なデジタル情報技術が利用されています。」と情報技術を広範に利用していることを紹介した後、「これらのデジタル情報技術ネットワークやシステムは、安全対策が施されているものの、ハッカーやコンピュータウィルスによる攻撃、トヨタが利用するネットワークおよびシステムにアクセスできる者による不正使用・誤用、開発ベンダー・クラウド業者など関係取引先からのサービスの停止、電力供給不足を含むインフラの障害、天災などによって被害や妨害を受ける、または停止する可能性があります。」と、重大なリスクの要因を指摘し、「このような事態が起きた場合、重要な業務の中断や、機密データの漏洩、トヨタ製品の情報サービス機能・運転支援機能などへの悪影響のほか、法的請求、訴訟、賠償責任、罰金の支払い義務などが発生する可能性もあります。」と損害の可能性が排除できないことを説明する。「その結果、トヨタのブランド・イメージや、トヨタの財政状態、経営成績およびキャッシュ・フローに悪影響を及ぼす可能性があります。」と結んでいる。

具体的な損害金額は不確定だが、経営者は、有価証券報告書にリスクの存在を記述することで、サイバー攻撃や従業員の過失、あるいは故意によって情報漏えいが起きるリスクについて認識を新たにする機会が増える。

個人情報保護についての意識の高さも、有価証券報告書の記述内容でうかがい知ることができるだろう。


【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization