要約

1. 信用格付においてサイバーリスクの影響が拡大しつつある。外資系格付会社の大手2社であるS&Pグローバル・レーティング（以下、S&P）、Moody'sは従前からサイバーリスクについて言及していたが、ロシアによるウクライナ侵攻や米中対立といった地政学リスクの高まりがより鮮明になって以降、格付評価上のサイバーリスクに関する発信を大きく増やしている。S&Pは2022年3月に格付手法を見直し、サイバー攻撃を受ける前であってもサイバーリスクへの備えが不十分な場合は格付に下押し圧力がかかることを示した。またMoody'sもサイバー攻撃が格付に影響を与える要因・経路を明確化し、信用力評価におけるサイバーセキュリティの重要性を改めて指摘した。
2. 両社に共通しているのはサイバーセキュリティの取り組みは企業の一部の部門・部署が担うものではなく、経営陣が直接責任を持って対応すべきガバナンスの問題と捉えている点である。ガバナンス評価は格付評価の根幹を成す要素であり、特に外資系格付会社は重視している。S&Pの格付手法の見直しでは、サイバーリスクを「経営陣とガバナンス」の評価項目に組み入れている。
3. サイバー攻撃に伴う格付アクション（格下げ、格付見通しの引き下げ、格下げ方向での見直し）はこれまでのところ少数にとどまっている。格付を取得する企業の多くは規模が大きく財務耐久力も相応にあり、サイバー攻撃による事業上・財務上の影響を吸収する余力が高かったためとされている。しかし、地政学リスクの一層の高まり、デジタル化の進展、生成人工知能（AI）や量子コンピューターといった新技術の出現等によって、サイバーリスクの格付へのネガティブな影響が拡大・深化することをS&P、Moody'sともに予測している。一方、日系格付会社からは2024年10月末時点で、格付評価上のサイバーリスクに関する言及はほぼなく、今後の発信・情報提供が待たれる。