「東証プライム上場企業におけるサイバーセキュリティ開示実態」調査について
2026年4月10日
MS&ADインターリスク総研株式会社
MS&ADインシュアランス グループのMS&ADインターリスク総研(社長:宮岡 拓洋)は、企業・組織を狙うサイバー攻撃により、深刻な影響をもたらした事例が発生している現状から、SEC(米国証券取引委員会)をはじめとする海外規制当局による開示要求の強化の影響により日本国内でも開示要求が強化されることが見込まれることから、今後のサイバーセキュリティに関する情報開示に資することを目的に、東証プライム上場1,615社の公開情報(有価証券報告書・統合報告書等)を対象に、生成AIを活用したサイバーセキュリティに関する開示実態の調査を実施しました。
企業が実際に投資家へ向けて公表している情報だけを材料とし、「何を、どれだけ、どのように書いているか」を定量的に評価することを目指したものです。
本調査結果もふまえて、MS&ADインシュアランス グループは今後も多様化するお客さまニーズに応える商品・サービスの開発を積極的に進めていきます。
1. 実態調査
(1)実施概要
| 調査方法 |
有価証券報告書:EDINET APIから最新のファイルを一括取得(1,551社は2025年版、64社は2024年版) 統合報告書等:企業サイトを対象に、「統合報告書」「インテグレーテッドレポート」「価値創造報告書」「サステナビリティレポート」など名称揺れを考慮しつつ、独自スクリプトと人手補完で1,291ファイルを収集 |
|---|---|
| 調査対象企業 | 2025年10月時点の東証プライム上場企業1,615社 |
| 主な分析方法 | 収集したファイルから、サイバーセキュリティ関連のキーワードを機械的に検索し、該当箇所の前後の文脈を切り出し、独自のプロンプトにより、生成AIに「何を、どれだけ、どのように書いているか」を定量的に評価させたもの。 |
| 本調査結果に関する注意点 |
|
なお、本調査では、AIを活用した調査・分析に高度な知見をもつ株式会社SIGNATEへ業務委託を行い、共同で調査を行いました。
(2)結果概要・考察
本調査では、サイバーセキュリティ開示は記述量よりも、ガバナンスを含む内容の具体性と、6カテゴリ(基本概念・リスク評価・ガバナンス・組織・技術・人財)のバランスが重要だと示されました。
特に高評価企業は、組織として有事に対応できる体制を明確に示し、投資家の安心感につなげています。また、規制産業やインフラ業種は開示が進む一方、BtoC業種には改善余地があります。
企業規模との相関はあるものの、中堅企業でも組織・体制や技術面の最低限の具体化により評価向上は可能です。
業種・企業規模・規制の有無・過去のインシデント経験・経営層のリーダシップの違い等によって、企業ごとに成熟度は異なります。自社の成熟度を把握したうえで、ガバナンス、体制、技術、教育などの具体化を段階的に進めることが重要と示されました。
(3) 調査・報告書
調査報告実績ページ(こちら)よりダウンロード可能です。
2. 今後の取組みについて
MS&ADインシュアランス グループは、企業のサイバーセキュリティ対策の実施状況を正しく理解するために今後も調査・研究を継続的に行い、グループ各社のノウハウを結集し、多様化するお客さまニーズに応える商品・サービスの提供を通じて、さらなるサイバーセキュリティリスク低減の実現に貢献してきます。
添付参考:RM FOCUS 97号(こちら) 2026年4月1日(本調査の概要版)
以上