Fortune 100企業の取締役会がセキュリティリスクに対する監視を強化中：Cybersecurity Dive

4大監査法人であるEYの調査によると、Fortune 100に名を連ねる企業のCISOは取締役会や経営層との連携を強化している。

[David Jones，Cybersecurity Dive]

　EY Center for Board Matters（以下、EY）の調査によると（注1）、米国証券取引委員会（以下、SEC）の新しい開示規則が2023年9月上旬に施行されることを受け、「Fortune 100」企業において、取締役会によるサイバーセキュリティの監視が急速に拡大しているという。

サイバーセキュリティリスクへの関心が高まっている

　SECに対する提出書類において5社のうち4社が、経営陣がサイバーセキュリティについて取締役会または委員会に報告する頻度を開示した。ほぼ半数の企業がサイバーセキュリティに関して少なくとも1年に1回は取締役会に報告していた。

　取締役会が報告を求める内容にサイバーセキュリティに関する事項が含まれていると開示した企業の割合は2018年には5社のうち1社だったが、現在では5社のうち3社に増加した。

　同調査はEYによる6回目の年次調査である。Fortune 100のうち上位75社のプロキシーステートメント年次報告書に基づくもので、2018年の会計年度から2023年5月31日までのデータを使用している。

　同調査は近年、株主や顧客、政府規制当局がサイバーセキュリティリスクに対する懸念を強め、それらの事項が取締役会による監視の焦点となっていることを示す。

　報告書によると、企業はサイバーリスク関連の情報を取締役会に開示するプロセスを合理化している。Fortune 100に名を連ねる企業の57％は、少なくとも1人の担当者を指名して取締役会にこれらの問題を報告し、ほとんどの場合、CISO（最高情報セキュリティ責任者）またはCIO（最高情報責任者）が指名されている。2018年には、Fortune 100の企業のうち23％しかこのような指名を実施していなかった。

　SECの最終規則では、企業に求められるサイバーセキュリティの要件が強化され、インシデントが重大であると判明してから4営業日以内に、その事実を開示することが義務付けられた。さらに規制当局は、企業の取締役会が最初の開示に続く情報をどのように把握しているかも知りたいと考えている。

　EY Americas Audit Committee Forumのリーダーであるパット・ニーマン氏は「この規則にはForm 8-Kが完成した時点で必要な情報が判明していなかったり、入手できなかったりした場合のガイダンスも含まれている。登録企業は、取締役会の中でサイバーセキュリティリスクを管理する委員会や小委員会を定める必要がある」と述べている。

　「新しい規則は企業に対して、これらの委員会に情報を提供するプロセスを開示するよう求めている」（ニーマン氏）

（注1）What cyber disclosures are telling shareholders in 2023（EY）

原文へのリンク