要約

1. サイバーリスクは財務・非財務の観点から企業価値に影響を及ぼす可能性があり、企業によるサイバーセキュリティに関する情報開示がますます重要になっている。米国ではサイバーセキュリティ関連情報開示が米国証券取引委員会（SEC）により義務化されている。日本では2024年3月末時点で義務化されていないものの、政府により情報開示を推進するさまざまな施策も背景に、企業による取り組みが進んでいる。
2. 多くの投資家がサイバーリスクに着目し、環境・社会・ガバナンス（ESG）評価の要素の1つとして考慮したり、企業の経営陣とエンゲージメントを実施するケースも見られている。さらに、近年は、投資家による評価・判断を後押しすべく、金融庁による「投資家と企業の対話ガイドライン」、責任投資原則（PRI）や国際コーポレートガバナンスネットワーク（ICGN）といったグローバルな投資家団体による活動、議決権行使助言会社による議決権行使助言方針、ESG評価機関や信用格付会社による評価、等の動きも見られている。
3. 企業が効果的にサイバーセキュリティ関連情報開示を行うための主な論点としては、（1）読み手（投資家等）が注目する論点への意識、（2）企業価値維持・保全のツールとしての位置づけ、（3）国内外における当局の動向の注視、が挙げられる。特に、読み手である各ステークホルダーが着目する論点を意識した情報開示が円滑な企業経営の一助になり得る。また、投資家に対しては、ガバナンスの論点（経営陣のコミットメント、監督体制等）を中心に企業価値に影響を及ぼす可能性がある要素をわかりやすく示すことが大切である。