過年度の内部統制報告書の訂正～㈱ニップンの事例～

弊ブログでは、過去に2回株式会社ニップン（以下「ニップン社」）におけるサイバー攻撃被害について触れました。

それに関連して、ニップン社が2022年6月29日に2021年3月期の内部統制報告書の訂正報告書を提出されております（リンク）。

訂正前は財務報告に係る内部統制は有効であると判断していたものを、訂正後は開示すべき重要な不備に該当すると判断した結果、財務報告に係る内部統制は有効でないと判断されています。

以下、当該内部統制報告書の訂正報告書の主な内容です。

サイバー攻撃を許した原因

• 外部の専門家を含めて根本原因調査を実施した結果、サイバーセキュリティに係るシステムの技術的な脆弱性対応が十分にできていなかった。

• その事実の背景にある組織や内部統制の課題として、

  1. サイバーセキュリティに関するポリシー群が不十分であったこと

  2. サイバーセキュリティ管理体制における明確な指示系統・責任体制の曖昧さ

  3. IT･サイバーセキュリティに関する経営層のリーダーシップに基づく管理体制や経営資源（人材、投資等）の確保が不十分だったこと

の３件が指摘された。

何故2022年3月期の内部統制の不備ではなく2021年3月期なのか？

• サイバー攻撃による被害を受けた2021年７月７日以前において、サイバーセキュリティに関する全社的な内部統制（リスクの評価と対応）について、重要な不備があったと評価した。

• 予見されるリスクとしてサイバーセキュリティリスクへの対応を強化すべきであった2021年３月末時点の財務報告に関する内部統制は有効ではなく、開示すべき重要な不備が存在すると評価した。

2022年3月期の内部統制の評価は？

• 当社（ニップン社）は、財務報告に係る内部統制の整備及び運用の重要性は充分に認識しており、根本原因の調査結果を真摯に受け止め、再発防止及び改善策を策定し、必要な措置を内部統制評価の基準日である2022年３月31日までに実施した。従って、当社（ニップン社）の2022年３月末時点における全社統制（リスク評価と対応）については、適正に整備・運用されており、重要な不備は改善されていると評価した。

感想

ニップン社にとっては高い授業料になったはずです。「身代金」を支払った方が幾分か安く済んだ可能性もあります。

ただ、一度支払ってしまうと更なるサイバー攻撃を呼び寄せてしまう危険性もあり、それを嫌った結果としてこのような事態になったと推測します。

何とも難しい経営判断だったろうと思います。

尚、今回のサイバー攻撃被害の技術的原因や対策については、2022年3月期の内部統制報告書の 3【特記事項】で詳しく説明されていますので、ご一読することをおすすめします（EDINETへのリンク）。