英国・欧州の金融セクターはじめとした重要インフラセクターを中心に、サイバーセキュリティの健全性評価などを提供する、英国ロンドン発のサイバーセキュリティ企業「APRIO TECHNOLOGIES(アプリオ・テクノロジーズ)」は、英国と日本の法制度を軸に、取締役会レベルのサイバーセキュリティ・ガバナンスの実践を日英で比較分析したホワイトペーパー「取締役会サイバーセキュリティ慣行の日英比較」を公開しました。
サイバー攻撃の高度化と規制・開示要請の強化を背景に、サイバーセキュリティはもはやIT部門だけの課題ではなく、取締役会が主体的に関与すべき経営課題となっています。こうした状況を受け、本ホワイトペーパーでは、英国と日本における取締役会レベルのサイバーセキュリティ・ガバナンスを比較分析し、企業経営におけるサイバーリスク管理の在り方と、今後求められる取締役会の責任と実践を明らかにしました。さらに、サイバーガバナンスのギャップを埋めるための実践的な示唆を提示しています。
《ホワイトペーパー「取締役会サイバーセキュリティ慣行の日英比較」概要》
2025年に英国で公表された「サイバーガバナンス・コード・オブ・プラクティス」と、日本の「サイバーセキュリティ経営ガイドライン(METI/IPA)」を軸に、法制度・ガイドライン、組織文化、規制当局や投資家の期待、サプライチェーン管理、取締役の関与とリテラシーといった観点から日英のアプローチを多角的に検証しています。
■主な論点・分析ポイント
➀サイバーセキュリティはIT課題ではなく「取締役会の責任」へ
サイバー攻撃の高度化や情報漏洩時の影響拡大を受け、日英両国においてサイバーリスクはIT部門の課題を超え、企業価値や説明責任と直結する経営課題として位置付けられつつある。取締役会が主体的に監督すべきテーマであるとの認識が共通して強まっている。
➁異なるガバナンス設計思想
英国では、取締役個人の説明責任を厳格に問う法制度や、規制当局・投資家による監視の強さを背景に、責任の所在を明確化する「コード」型のガバナンスが採用された。
日本では、合意形成や継続的改善を重視する企業文化のもと、個別責任を切り出すのではなく、経営全体に浸透させる原則主導型ガイドラインによる運用が選択されている。
③規制当局・投資家からの期待の高まり
データ保護規制、経済安全保障、情報開示要請の強化により、サイバーガバナンスの成熟度は企業評価や投資判断にも影響を及ぼす要素となっている。取締役会による関与の有無や姿勢が、外部から問われる時代に移行している。
④サプライチェーンを含むリスク管理の重要性
サイバーリスクは自社の内部対策だけでは完結せず、取引先やその先にまで及ぶ「Nthパーティリスク」が顕在化している。日英両国のガイドライン/コードはいずれも、サプライチェーン全体を取締役会の監督対象とする必要性を強調している。
⑤取締役の関与とサイバーリテラシーが鍵
サイバーリスクについて適切な問いを立て、継続的に関与する体制が不可欠となっている。取締役会のリテラシー向上と関与の深さが、ガバナンスの実効性を左右する要因となる。
⇒全文のダウンロードはこちら
■著者:APRIO TECHNOLOGIES CEO、University College London客員研究員)
■APRIO TECHNOLOGIESの『Cyber Insight Portal』について
■APRIO TECHNOLOGIES LIMITED 概要
・HP :https://www.aprio.tech/
・設立 :2023年7月
・代表者 :足立照嘉(創業者/CEO)
・資本金 :1億6000万円(2025年1月現在)
・住所 :71-75 Shelton Street, Covent Garden, London, WC2H 9JQ
・社員数 :10名
英国・欧州の金融セクターはじめとした重要インフラセクターを中心に、事業継続を脅かすサイバーセキュリティリスクの可能性と影響について分析を行う「サイバーリスク・デューデリジェンス」や「サプライチェーン・サイバーリスク管理」「アドバイザリ」を実施。また、AIによる「サイバー予見」の技術開発に取り組んでいる。