取締役会向けのSaaSサービスを提供するDiligentは3月28日、Bitsightと共同で実施したサイバーセキュリティと監査に関する調査レポート「Cybersecurity, Audit and the Board(英語)」を公開した。
同レポートは、オーストラリア、カナダ、フランス、ドイツ、日本、英国、米国の上場インデックスを構成する中型~大型株企業4,149社を対象に、各社のサイバー監視体制とBitsightから取得したセキュリティ・パフォーマンス・データを関連付けている。
同レポートによると、セキュリティ・パフォーマンスの評価が高い企業の株主総利回り(TSR)の平均値は、5年で71%、3年で67%となり、標準的な評価の企業の5年で37%、3年で14%を上回り、優れた安全保障パフォーマンスを持つ企業は、基本的な安全保障レンジの企業と比べて財務パフォーマンスも顕著に高いことが明らかになった。
同レポートでは、サイバーセキュリティのスコアが高い企業の中には、テクノロジーなどの高成長セクターに属する企業もあり、ここ数年、業績が好調であったこと、高度なセキュリティ・パフォーマンスを誇る企業は強固なガバナンスのファンダメンタルズも備えていることがパフォーマンスの向上に起因している可能性があることを、サイバーセキュリティのスコアが高い企業の業績が良い理由として挙げている。
セキュリティ評価の高い企業は取締役の約76%が独立した社外取締役であるのに対し、標準的なセキュリティ・パフォーマンスでの企業の社外取締役の割合は66%に止まり、社外取締役の人数が多い企業ほど、高いセキュリティ評価を得る傾向にあることが明らかとなった。
リスク専門委員会と監査委員会の両方を設置している企業の証券パフォーマンス評価の平均値は710点で、どちらも設置していない企業の650点に比べ、平均セキュリティ格付けが高い傾向であった。専門委員会を設置している企業の安全性格付けの中央値は730で、監査委員会のみを設置している企業は720に減少し、両方の委員会を持たない企業では660と著しく低下している。
サイバーリスクのようなリスクを監督するための専門委員会の設置は、多くの規制当局から勧告されているにもかかわらず、普及率は国によって大きく異なり、オーストラリアのASX300では分析対象企業の90%が少なくとも1つ以上のこの種の専門委員会を設置していたが、日経225で専門委員会を設置している企業はわずか3%であった。
フランスのCAC40指数では約10%に相当する4社が取締役会にサイバー専門家を選任しており、フランスの取締役会におけるサイバー専門家の存在感が比較的高いことを示しており、米国のラッセル3000指数ではサイバー専門家を擁する企業が約6%に相当する約205社であった。日本、オーストラリア、カナダなどの国々では、取締役会にサイバー専門家がいる企業は比較的少なく、1%から2%であった。
