この記事の3つのポイント

• DX推進企業におけるサイバー攻撃事例が、情報セキュリティリスクの現実性を浮き彫りに
• 多くの企業では「DX＝攻め」の開示に偏りが見られ、その背景には制度的なインセンティブの構造がある
• ISSB/SSBJが求めるリスク開示の視点に立ち、統合報告書やサステナビリティ開示でも「守り」をどう語るかが問われる

---

 

2025年9月末、ある国内大手企業がサイバー攻撃を受け、受注・出荷システムの停止に追い込まれました。

復旧が遅れ、生産や流通が数日にわたって滞るというニュースは、DXを積極的に進めてきた企業であっても「守り」が不十分であれば、その恩恵が一転して事業継続リスクに変わりうることを示したこのニュース、他人事とは思えなかった企業担当者さまも多いのではないでしょうか。

 

情報セキュリティ白書が示す新潮流

同時期に公表された「情報セキュリティ白書2025」は、この事例と重なるように、AIの悪用や偽情報拡散、サプライチェーンの脆弱性といったリスクを鮮明に描き出しています。

いまやセキュリティは、IT部門だけの課題ではなく、企業価値やサステナビリティと直結するテーマです。「情報セキュリティ白書2025」では次のようなリスクが強調されており、いずれも、サステナビリティ担当者さま・IR担当者さまにとって示唆に富む内容となっています。

 

-　生成AIを用いたなりすましや誤情報によるブランド毀損

-　クラウドの設定不備による大量データ流出

-　サプライチェーンを通じた攻撃（SBOMや委託先を狙うケース）

-　OT（製造・物流等）領域への侵入による操業停止

 

今回の国内大手企業のケースは、これらのリスクが実際に企業活動に重大な影響を及ぼしうることを示す実例となりました。DX推進を全面に掲げ、社外からも高く評価されていた同社において、業務の中枢を担うシステムが一部停止したことは、白書が警鐘を鳴らすリスクの実在性を強く印象づける出来事でした。

 

ISSB/SSBJでは機会とともにリスクの開示も求められる

サイバー攻撃を受けた今回の国内大手企業のように、DXに積極的であっても、情報セキュリティに関する体制や開示が不十分であれば、その脆弱性が明るみに出るリスクがあります。

DXによって企業価値を語るならば、同時にその信頼をどう守るのか——経営層の関与や教育体制、インシデントへの対応方針もまた、ESGの重要テーマとして捉え直すことが必要です。

 

ISSB（国際サステナビリティ基準審議会）が公表したIFRS、そしてその日本版としてSSBJが定める開示基準では、企業はサステナビリティに関する機会だけでなくリスクについても体系的に開示することが求められています。

これは、単に前向きなDX活用を示すだけでは不十分であり、その裏側に潜むセキュリティリスクや事業継続リスクをどう認識し、どうマネジメントしているかを投資家に伝える必要があるということを意味しています。

情報セキュリティのリスク面について開示することは、「攻撃を受けるかもしれない」というおぼろげな不安や、ましてや企業の弱さを示すものではなく、国際基準に則った必須の開示領域であり、投資家との対話や信用評価に直結するガバナンスの一部なのです。

 

多くの企業が陥る「DX＝攻め」の開示

しかし現実の開示を見てみると、DXが華々しく語られる一方で、情報セキュリティは簡単な記述にとどまるケースが少なくありません。

たとえば、冒頭で紹介した企業――DX銘柄として高く評価され、デジタル活用の先進企業として知られる同社――の統合報告書を見てみると、DX戦略に数ページを割き「AIを活用した業務効率化」「デジタルによる顧客体験の革新」といったメッセージが並びます。

サステナビリティレポートでも、DXを活用した環境負荷低減や人材活用が繰り返し紹介され、有価証券報告書ではDX推進に関する具体的施策が丁寧に語られています。

 

一方で、情報セキュリティについては、統合報告書においてリスクマップに小さく「サイバー攻撃」と載っている程度で、インシデント対応や教育体制への言及は見られませんでした。セキュリティリスクの存在は認識されているものの、「守り」の側面について語る分量や深度は、攻めの内容に比べて明らかに見劣りします。

これは決して一社に限った傾向ではなく、「攻めは厚く、守りは薄い」というアンバランスさは多くの日本企業に共通しています。

 

なぜこうなるのか ― 制度的背景も影響

この偏りの背景には、以下のような制度的な要因もあります。

DX銘柄の存在感
経産省と東証が選定する「DX銘柄」では、デジタル技術を活用した新規事業や業務改革が評価の中心です。選定されれば投資家や市場へのPR効果が大きいため、企業は「攻めのDX」を積極的にアピールするインセンティブを持ちます。

デジタルガバナンス・コード3.0
2022年に改訂された「デジタルガバナンス・コード3.0」では、DXを経営課題として取締役会が監督すべきと明示されました。これにより「経営トップがDXを語るべき」という圧力は強まった一方、セキュリティへの踏み込んだ説明は後景に回りがちです。

有価証券報告書でのサステナ開示義務化
2023年からプライム上場企業に人的資本やサステナビリティの開示が義務化されましたが、情報セキュリティは「リスク管理」の中の一項目にとどまります。必ずしも詳細な説明を求められないため、開示の深度は浅くなりがちです。

 

DXを語るなら情報セキュリティも語ろう

DXは企業価値を伸ばす「攻め」の物語として重要です。しかし同時に、DXが進むほどセキュリティリスクも複雑化し、事業継続やブランド価値を脅かします。

だからこそ統合報告書やサステナビリティ開示では、たとえば下記のような視点を加えることが有用です。

-　情報セキュリティに関するリスクシナリオ分析

-　インシデント発生時の対応プロセスとKPI

-　教育・訓練・模擬演習の実施状況

-　取締役会・監査委員会による監督体制

こうした「守りの開示」があって初めて、DXの物語は持続性を持ち、投資家や社会に信頼されるものになっていくでしょう。

 

終わりに ― 信頼は「守り」の語りから

繰り返しとなりますが、情報セキュリティを開示することは「弱さ」を見せることではありません。

むしろ「リスクを想定し、備え、透明に伝える」と示すことは、企業の強さを示すものです。

 

DXに注力する企業だからこそ、守りも含めた両輪のストーリーを——サステナビリティ開示も、ESG評価の視座もまさにそこに向かっています。

 

－－－

本日もお読みいただき、ありがとうございました。

それではまた、次回のブログで。

 

執筆担当：川上 佳子