サイバー被害が財務にも影響を及ぼす時代
皆さんこんにちは、代表の尾崎です。
先日読んでいた日経新聞で非常に興味深い記事がありました。アメリカでサイバー攻撃による被害が発生した企業の株価を追跡調査した研究の記事です。
【参考記事 日経新聞2023年2月22日】サイバー対策に厳しい目 被害企業株価の戻り鈍く
この記事によれば、サイバー被害が発生する前を起点にサイバー被害を受けてしまった企業とそうでない企業(株式市場全体のベンチマーク)を比較すると、攻撃を受けた企業は攻撃から一年後も株価の戻りが遅いとのこと。サイバー攻撃により情報漏洩や業務の一部停止等が現実のものとなってしまった際の株価下落は頷けますよね。しかしながら、サイバー攻撃がこれだけ頻繁かつ、複雑になっている現代でも一度被害を受けた企業の株を買う投資家が減ってきていると言えます。
株価が回復しづらい背景として、1)被害の回復や新たな対策のために投じる費用がかさむこと、2)ESGへの意識を強める投資家がセキュリティ対策の甘さを厳しくチェックするため、といった要因が考えられますね。企業の業績が良ければ=利益が上がっていれば株を買う投資家が多かった時代と比べ現在は利益はもちろん企業の在り方も問われる時代になっています。これは尾崎が一人で主張しているわけではなく、株式投資を分析するアナリストが多く加入している証券アナリスト協会発行の「証券アナリストジャーナル」にも掲載されています。例えば、2023年2月の証券アナリストジャーナルの特集は企業のESG/サステナビリティのモニタリングです(尾崎は日本証券アナリスト協会認定アナリストです)。投資家の目線が利益からサステナビリティやフィロソフィーに軸足を移しつつあることが感じられるのではないでしょうか?
サイバー攻撃を受けて被害が発生した場合、サイバーセキュリティ保険で何とかしようという流れは加速しています。尾崎が付き合いのある損害保険会社から聞き取った話では、この数年サイバーセキュリティ保険の契約額は毎年20~30%前後伸びているとのこと。時代の背景を考えれば多くの企業がコストを払ってでも被害に備えようという気持ちになるのはわかりますね。しかしながら、保険によって戻ってくるのはあくまでサイバー攻撃を受けた際の損害賠償金や弁償金といった金銭面のみ。
保険に加入したからと言ってサイバー攻撃を受けた際の防御力がアップするわけではありません。また、サイバー攻撃発生時の社員の対応能力が上がるわけでもありません。まして、下落した株価を下支えしてくれる効果もないわけです。保険に加入するのは万が一のサイバー攻撃被害への備えとしてごく一部をカバーするだけ、という点ご理解いただけるでしょうか?保険はあくまで「リスクの移転」であって「リスクの軽減」や「リスクの回避」には直接つながりません。ますます増えるサイバー犯罪に対して、保険だけでは太刀打ちできません。その上、万が一被害が生じてしまった際には投資家からの評価も下がってしまう、ということが明らかになっている今、保険以外の対応も考えなければならないと言えるでしょう。
さて、冒頭引用した日本経済新聞の記事でもう一つ興味深い記述があります。それは「あらかじめサイバー対策の戦略を立てている企業の方が、株価の回復が早い傾向がある」というもの。バンク・オブ・アメリカ証券関係者の談話とされていますが、これは大変意義深いコメントです。サイバー攻撃を受けた企業はあくまで被害を被る側、つまり被害者です。しかしながら、その被害の度合いをどこまで軽減できるのか、あらかじめ備えができていたのかを投資家が問いかけているということですね。経営者目線で言えば、財務健全性の観点からも被害が発生する前にサイバーセキュリティ対策のレベルを上げておくことが求められる時代なのです。
海外事業展開時の従業員向け安全対策/健康管理は「ESG投資」の一部
さて、当サイトの守備範囲はサイバーセキュリティではなく、フィジカルセキュリティ=人間の安全確保です。サイバー被害が企業の株価や財務に影響するのであれば、より直接的に人命が関わる従業員の安全対策・健康管理はより大きな影響があってもおかしくありません。
読者皆様誰もが思いつく事例として労働基準法に違反するような労働環境(過重労働、長時間労働、休日の未確保等)が発覚すればその企業は社会的信用を失うでしょうし、上場企業であれば当然株価も下がるでしょう。令和の時代、パワハラやセクハラ、あるいはマタハラといった各種のハラスメントも許されるものではなくなっています。
【参考コラム】企業のハラスメント防止義務、法制度化へ
劣悪な労働環境やハラスメントを放置している企業には当然投資家は厳しい評価を下します。財務戦略の観点からも、また人材確保の観点からも目先の利益以上に労働環境改善、社内風土改善に投資が必要なのは明白ですよね。そして最近の動きとして従業員の健康確保にも企業としての投資が必要ではないか、という流れも観察されています。いわゆる「健康経営」という発想です。従業員・関係者の健康が確保されることが長く安定的に事業を継続することに繋がり、企業全体の発展に結びつく、という発想です。
2021年7月、経済産業省を中心にこの健康経営の概念がどの程度投資家の評価を集めているか調査した報告書が存在します。2021年7月に行われた第3回 健康投資ワーキンググループで使われた「健康経営度評価項目と株価リターンの関係」と題するPDFを見てみましょう。こちらは健康経営の概念を経営理念に入れている会社ほど、TOPIXの指数よりも株価パフォーマンスがいい、という傾向が指摘されています。
2021年
日本で言えば昭和の時代、高度経済成長期は利益最優先、働き手もたくさんいましたので従業員の安全や健康に企業側が多額の投資をするということは考えられませんでした。それこそ「24時間働ける」社員が厳しい業務の中で生き残り会社を支えるという構図が一般的でした。株を買い、事業のための資本を提供する投資家もこれを受け入れており、利益が出るならば、労働者はできるだけ安く、使えるだけ使え!という発想だったと言っても過言ではありません。
しかしながら時代が変わり、今や従業員の安全確保・健康管理に会社がお金を出し外部の専門機関等とも連携して包括的な対策を講じるのが当たり前になりつつあります。そして、かつてと違い、そうした取り組みをせず従業員の安全確保・健康管理に関与しようとしない経営方針には投資家もそっぽを向き始めているというのが現実です。
尾崎自身、海外での安全管理を企業・団体に広めている背景は海外で従業員・関係者がテロ等で死傷した事案を複数知っているから。そして、そうした死傷事案の余波が極めて深刻なもの、超長期的なものであることを痛感しているからです。サイバーセキュリティへの投資ももちろん必要です。しかしながら企業や団体が長く栄え、発展していく最大の原動力は皆さんの大切な従業員・関係者ではないでしょうか?
そう考えていくと、海外で事業展開する企業・団体にとって被害が発生する前に海外で活躍する従業員・関係者の安全対策・健康管理に投資を行うというのは必然の取り組みと思うのです。そして一番最初にご紹介したように、被害が発生した瞬間の株価下落だけでなく、被害発生後一年経っても株価が戻り切らない(投資家の支持が戻らない)という事実からは人的資源の保護だけでなく財務面でも有事発生前の投資こそ重要なのだと思います。
安全対策を専門にしつつ、証券アナリストとして日々世界各地の経済動向にも目を配っている尾崎だからこそ、今感じることを率直にお伝えしました。
この項終わり
