CIO／CISOだけの仕事じゃない、CFO視点で考えるテクノロジーリスクとIT投資管理の落とし穴

どうやって評価する？ サイバー侵害が及ぼす財務報告への影響

　次に登壇したのは、EY Japan Forensicsでフォレンジック・テクノロジーリーダー／サイバー・アシュアランスリーダーを務める杉山一郎氏だ。サイバーインシデント対応とフォレンジック分野で15年以上の経験を有し、監査クライアントでインシデントが発生した際の財務諸表への影響評価などを手掛ける。

　杉山氏がまず示したのは、サイバー侵害の現実だ。2024年から2025年にかけ、ランサムウェア攻撃を受けた複数の日本企業が決算延期に追い込まれている。2024年2月には、小売業で特別損失約10億円・営業利益への影響約40億円、同年10月には電機メーカーで売上への影響約130億円・営業利益への影響約40億円が生じた。2025年には、飲料メーカーや別の小売業にも被害が生じ、サプライチェーンの混乱を招いた。「実際にはこれ以上の被害が日本全体で発生しており、その手前でなんとか踏みとどまっただけというケースも少なくない」と同氏は語る。

　決算延期が生じる理由として、侵害後の影響評価に膨大な時間がかかるためという現実がある。侵害が財務報告に与えるリスクは大きく3種類、①重要な情報の漏洩、②データの改ざん、③システムの停止だ。それぞれが①損害賠償の発生、②財務報告に係るデータの信頼性の毀損、③財務報告に係るシステムの停止という形で直撃する（図2）。

　「実際にサイバー侵害が発生した際、監査人は損失の見積や、財務報告に係るデータの正確性を確認していく必要があります。侵害の被害を受けた会社については、CFOを中心に適切に評価をしていく必要があります」（杉山氏）

　その評価で押さえるべき調査軸は以下4つだ（図3）。

1. 侵害の期間：安全なバックアップを特定するために不可欠
2. 重要な情報の漏えいの有無と範囲：個人情報だけでなく、取引先のデータや海外法令への抵触も対象となる
3. 侵害の範囲：会計システム本体だけでなく、連携システムや経理担当者のアカウントまで細かく確認する
4. 侵害の発生原因：再発防止策の検討と内部統制の不備の有無を見極める

　そして杉山氏が特に強調したのが、これらのポイントは自社から能動的に要求しなければ調査されないという事実だ。一般的なデジタルフォレンジック調査サービスなどでは対処しない内容のため、サイバー侵害が発生したらCFOや会社組織として確実にリクエストしていく必要があるのだという。受け身の対応では、財務報告に必要な事実確認が後手に回ってしまうということだ。