アドバイザリー

サイバー脅威の誘発要因:監査責任

監査委員会は、株主の利益を守るためにサイバーリスクを評価する責任をますます求められるようになっています。しかし、セキュリティ対策が厳しすぎて、事業運営や価値の創出に支障が出るような事態は避けなければなりません。

ある大手医療機関は、過去数カ月にわたり、100万人を超える顧客の個人情報が暗号化されないまま流出していたことを認めました。同社は多額の罰金の支払いを命じられましたが、流出したデータが悪用された場合、さらなる罰金を科せられる可能性があります。

確認すべき事項:

  • サイバー攻撃を受けた場合、その事実を投資家や株主にいつ、どのように開示すべきか。
  • 組織の情報セキュリティ戦略は、組織のリスク選好度およびリスク許容度と一致しているか。
  • サイバー攻撃が自社の財政状態に及ぼす影響を十分に理解しているか。短期的に必要な費用(例:直接的な損害や問題の是正のために必要な費用)以外の、将来的に必要となる費用も検討しているか。
  • テクノロジー部門の責任者は、サイバー・セキュリティ・アプローチを組織の戦略や運営上の方針に合わせてどのように調整すべきか理解しているか。