For those who prefer to read this column in English, the Japanese text is followed by a British English translation, so please scroll down to the bottom of the Japanese text.

会社がひとたび地震災害やサイバーテロに遭遇すると、甚大な被害を受けることが想定される。会社は、これらに対して具体的にどのように対処しているのか、また対処しようとしているのか、公開情報から探ってみることにする。

1．事業等のリスク

上場会社や一定の要件を満たした会社は、有価証券報告書を提出しなくてはならない。有価証券報告書は、会社の売上高や利益額といった財務情報（定量情報）のみならず、事業の内容や研究開発活動といった非財務情報（定性情報）も記載内容が充実している。

つまり、有価証券報告書には投資者の投資判断に資する有用な情報が開示されており、これらの開示情報の中に「事業等のリスク」という項目がある。

この情報項目は、15年ほど前に新たな開示項目として開示が義務付けられものである。その背景は、投資者の投資判断に重要な影響を及ぼす可能性のある事項を開示して投資者を保護することにあるが、その記載内容は会社によって様々となっている。会社の経営内容の把握は、財務情報に頼りがちだが、近年非財務情報の重要性も高まっているので注意が必要であると考える。

2．地震リスク・サイバー攻撃リスク

会社が直面する事業リスクには様々なものがあるが、「事業等のリスク」の記載内容を見ると、会社が認識しているリスクを知ることができる。地震・津波・噴火等に関する記載は多くあり、会社がそれらのリスクを重大なものとして認識していることがわかる。

記載例の一部を要約すると、「生産拠点や生産設備が大きな損害を受ける可能性があり、その場合復旧費用が多大となり会社業績に影響を与える」、「物流網の寸断等により原材料等の仕入れが滞り、生産活動の停滞によって会社の財務状況に影響を与える」、「生産設備の復旧に時間を要し、障害が長期化し会社の事業活動に大きな影響を及ぼす可能性がある」等である。サイバーテロについても同様に、「サイバー攻撃で個人情報等が流出し、信用失墜により会社業績に影響を与える」、「サイバー攻撃等により重要データが喪失し、復旧費用が発生し業績に影響を与える可能性がある」、「サイバー攻撃によるシステムトラブルで顧客利益の損失を招き、損害賠償請求等により財務状況に影響を与える可能性がある」等である。

これらは、多くの会社が記載している内容であるが、これらのリスクに対して対応策を明記しているケースはかなり少ないのが実情である。当然、紙面の制約があり、内容についてわかりやすく簡潔に記載しなければならないので、事細かに記載することは現実的ではないが、投資者からすると、「災害や事故が発生したときの会社のストレス耐性」がどれだけあるのかは、興味深い事項である。

リスクに対する備えを「事前の対策と事後の対策」に分類すると、「事前の対策」は損害発生をいかに回避するかもしくは最小限にするかを追求する活動であり、「事後の対策」は発生した損害からいかに早く確実に復旧するかを追求する活動であるといえる。

これらの対策は両方とも重要だが、どんなに事前の対策を講じても損害発生をゼロにすることは不可能に近いと考えられる。ステイクホールダーに対する責任を果たすためにも、発生損害を予測、その対策を講じておくことで、“想定外“を極小化しなくてはならない。

大災害による損害発生から早期復旧するためには様々な要素が絡んでくるが、「最も重要な要素の一つに経営を継続させるための資金を確実に調達する」ということが挙げられる。雇用の維持や生産設備の再構築、取引先の支援等様々な活動が、資金調達をすることで可能になるからである。しかし、企業存続の重大な局面で、今まで通り資金調達がスムーズにできるか否かについては、慎重な検討が必要になる。たとえ、金融機関と極度額を設定しその範囲で任意に資金調達を行っているような場合でも、災害時においては融資ができない条件になっている場合もあるからである。

このような場合に備えて、いくつかの会社が実践している対策である「震災対応型コミットメントライン」と「地震保険」を記したい。

３．震災対応型コミットメントラインと地震保険

地震リスク

A.「震災対応型コミットメントライン」とは、大規模な震災が発生し一定の要件を満たした場合に、あらかじめ定められた金額を限度として金融機関から融資を受けることができる仕組みである。震災対応型コミットメントラインがあれば、借入をして常に資金を手元に置いておく必要はなく、災害時に資金を調達できるため有効なリスクファイナンスとなります。しかし、これは金融機関から会社に対する与信になるため、金融機関の審査を受けなければならないので、希望すれば導入できるとは限らない、またコミットメントラインの維持には通常コミットメントフィーが発生する。つまり借入金がゼロでも一定の費用が発生するのである。

震災時に資金調達ができて苦境を乗り切ったとしても、当然だが借りた資金は返済しなくてはならず、会社の財務負担の増加は避けられない。

B.「地震保険」は、地震だけでなく津波や噴火による損害もカバーできるため、会社の大災害リスクに対処する保険として有効なリスクファイナンスと考えられるものである。東日本大震災以降、地震保険が注目されたが、保険料率の高さやキャパシティーの不足によって十分な補償が得られなかったため、保険の購入を断念した会社が少なくなかったようである。しかし、大企業といえども、「経済合理性から地震保険に未加入」、「十分な補償が得られないから未加入」、「地震保険に加入しているが補償範囲は限定的」状況があるので、保険がリスクファイナンスとして十分に機能していないことがと推察される。

保険の大きなメリットは、「災害時に受け取る補償金、『保険金』は返済の必要がないため、融資とは異なり大災害後の企業財務に重い負担を残すことはない」リスクマネジメントの手段であると言える。

サイバーリスク

もう一つの大きなリスクが最近頻発しているサイバー攻撃リスクである。比較的新しいリスクだが、多くの会社がサイバー攻撃による会社への影響について認識をしている。しかし、そのリスクによって発生する損害等についてどのように対応し健全に企業継続を図るかについては、「有価証券報告書」にはほとんど記載がない。サイバー保険は、日本国内でも販売されているが、これまでも述べてきたとおり、会社が求める補償額や補償範囲とまだまだギャップがあり、需要に供給が追いついていない状況が読み取れる。

今回のまとめ

巨大地震のリスクの高まりは、近年テレビや新聞等で頻繁に報道されている。政府の地震調査委員会は、南海トラフで想定されるマグニチュード８から９の巨大地震については、今後30年以内に発生する確率を70％から80％とし、また首都直下型地震は、今後30年以内に70％の確率で起こりその経済被害額は100兆円ともいわれている。

情報漏洩による巨額損失事件については、ある会社の会員情報が漏洩しその顧客への補償やセキュリティ対策費用に300億円近い費用を拠出したケースが近年発生しているが、サイバーテロによって受ける被害額の大きさは想像をはるかに超えるものになっている。このような、新しい巨大リスクに対しても適切なリスクマネジメントをすることで対応策を見つけることが可能となると考える。

“想定外”のコロナ禍に見舞われ、返済しなくてもよい“給付金”の有難さを多くの企業や国民が感じていると思う。“想定内”の巨大地震やサイバーリスクにどう対処するかを真剣に考える時期が来ており、「何もしないという選択肢」はもはや経営とは言えず、一か八かのギャンブルの様なものである。　    　　                   　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　執筆者：上田　修司
翻訳者：羽谷 信一郎

English Translation

Risk Management 39 – Responsibility of the Company’s Management

Once a company encounters an earthquake or cyber-terrorist attack, it can be expected to suffer significant damage. We will try to find out from publicly available information how the company is dealing with these risks and how it is going to deal with them.

１．Risks of business

Listed companies and companies that meet certain requirements are required to file annual reports. Securities reports contain not only financial information (quantitative information), such as sales and profits, but also non-financial information (qualitative information), such as the nature of the business and research and development activities of the company.

In other words, securities reports disclose information that is useful for investors to make investment decisions, and one of these disclosures is a section called “business and other risks.

This information item was newly required to be disclosed as a disclosure item about 15 years ago. The purpose behind this is to protect investors by disclosing matters that may have a significant impact on their investment decisions. However, the content of the information varies from company to company. Although it is easy to rely on financial information to understand the management of a company, the importance of non-financial information has been increasing in recent years, so we think it is important to pay attention to it.

２．Earthquake risk and cyber-attack risk

There are a variety of business risks that a company faces, but the content of the “Business and other risks” section gives us an idea of the risks the company is aware of. There are many descriptions of earthquakes, tsunamis, volcanic eruptions, etc., which indicate that the company is aware of these risks as significant.

To summarize some of these risks, “There is a possibility that the company’s production sites and production facilities could be severely damaged, in which case the company’s financial performance would be affected by the high cost of recovery. In addition, there is a risk of prolonged disruptions that could have a significant impact on the company’s business activities. The same applies to cyber-terrorism: “Personal information may be leaked in a cyber-attack, which may cause a loss of credibility and affect the company’s business performance”; “Important data may be lost due to a cyber-attack, and recovery costs may be incurred, which may affect the company’s business performance”; “System problems due to a cyber-attack may cause a loss of customer profits, which may lead to a loss of business activities. There is a possibility of affecting the financial situation due to a claim for damages“, etc.

These are the contents that are described by many companies, but the reality is that there are very few cases where countermeasures against these risks are clearly stated. Naturally, due to paper limitations, it is not practical to describe the contents in detail since they must be described in a clear and concise manner. However, from an investor’s point of view, it is interesting to know how well the company’s stress tolerance is in the event of a disaster or accident.

If risk preparedness is divided into “proactive measures” and “post-action measures”, “proactive measures” are activities to avoid or minimize damage, while “post-action measures” are activities to recover quickly and reliably from the damage that has occurred.

Both of these measures are important, however, it is almost impossible to reduce the damage to zero, no matter how much we take proactive measures. In order to fulfill our responsibility to our stakeholders, we must minimize the “unexpected” by anticipating the damage that may occur and taking measures to deal with it.

In order to recover from damage caused by a catastrophe at an early stage, various factors are involved, but one of the most important factors is to ensure that the company is able to procure the funds necessary to continue its operations. This is because various activities such as maintaining employment, rebuilding production facilities, and supporting business partners can be carried out by raising funds. However, at this critical stage of a company’s survival, it is necessary to carefully consider whether or not it will be possible to raise funds smoothly as before. This is because even if you have set a credit limit with a financial institution and are raising funds voluntarily within that limit, there may be conditions that preclude you from raising funds during a disaster.

In order to prepare for this kind of situation, we would like to write about the measures that some companies are taking, namely “earthquake resistant commitment lines” and “earthquake insurance”.

3.　Disaster-Responsive Committed Lines of Credit and Earthquake Insurance

Earthquake risk

“Disaster-Responsive Commitment Line” is a mechanism that allows a borrower to receive a loan from a financial institution up to a predetermined amount of money in the event of a major earthquake and certain requirements are met. With a disaster-responsive commitment line, it is an effective risk financing option because it allows the company to raise funds in the event of a disaster without the need to borrow and keep the funds on hand at all times. However, since this is a credit to the company from a financial institution, it has to be reviewed by the financial institution, so it may not always be possible to introduce it if you wish, and there is usually a commitment fee to maintain the commitment line. This means that even if there is no debt, there are certain costs involved.

Even if the company is able to raise funds in the event of an earthquake and survive the hardship, of course, the borrowed funds will have to be repaid, which will inevitably increase the financial burden on the company.

“Earthquake insurance” can cover not only earthquakes, but also damage from tsunamis and volcanic eruptions, making it an effective form of risk financing that can help a company cope with the risk of a major disaster. After the Great East Japan Earthquake, earthquake insurance attracted much attention, but due to high premium rates and a lack of capacity, many companies were forced to abandon the purchase of insurance due to inadequate coverage. However, even among large companies, there are situations in which companies do not purchase earthquake insurance because of economic rationality, do not purchase earthquake insurance because of inadequate coverage, or purchase earthquake insurance but with limited coverage, which suggests that insurance does not function adequately as a risk financing tool.

The major advantage of insurance is that it is a risk management tool that “does not leave a heavy burden on a company’s finances after a catastrophe, unlike loans, because the compensation or ‘insurance money’ received in the event of a disaster does not have to be repaid“.

Cyber risk

Another major risk is the risk of cyber-attacks, which has been occurring more frequently recently. Although this is a relatively new risk, many companies are aware of the impact of cyber-attacks on their companies. However, there is little information in their securities reports on how to deal with the damage caused by such risks and how to continue the company in a sound manner. Although cyber insurance is sold in Japan, as we have noted, there is still a gap between the amount and scope of coverage demanded by the company and the supply of cyber insurance, which is not keeping up with demand.

Summary of this issue

The heightened risk of huge earthquakes has been frequently reported on television and in newspapers in recent years. The government’s Earthquake Research Committee estimates the probability of an 8 to 9 magnitude earthquake in the Nankai Trough to be between 70% and 80% within the next 30 years, while an earthquake with an epicenter directly below the Tokyo metropolitan area is said to have a 70% probability of occurring within the next 30 years, resulting in economic damage of 100 trillion yen.

In recent years, there have been cases of massive losses due to information leaks in which a company’s member information was leaked and the company had to pay nearly $30 billion to compensate its customers and pay for security measures, but the amount of damage caused by cyber-terrorism is far greater than expected. We believe that it is possible to find countermeasures to these new, huge risks through appropriate risk management.

I believe that many companies and citizens are feeling the benefits of the “benefits” that do not have to be repaid after the “unexpected” coronation disaster. The time has come to seriously consider how to deal with “inadvertent” mega-earthquakes and cyber risks, and the “do nothing” option is no longer management, but rather a gamble.

    Author: Syuji Ueda                                                                                                                                                                                                                                    Translator: Shinichiro Hatani