株式会社ニップン 内部統制報告書 第198期(令和3年4月1日-令和4年3月31日)
EDINET提出書類
株式会社ニップン(E00345)
内部統制報告書
【表紙】
【提出書類】 内部統制報告書
【根拠条文】 金融商品取引法第24条の4の4第1項
【提出先】 関東財務局長
【提出日】 2022年6月29日
【会社名】 株式会社ニップン
NIPPN CORPORATION
【英訳名】
【代表者の役職氏名】 代表取締役社長 前鶴 俊哉
【最高財務責任者の役職氏名】 該当事項はありません。
【本店の所在の場所】 東京都千代田区麹町四丁目8番地
【縦覧に供する場所】 株式会社東京証券取引所
(東京都中央区日本橋兜町2番1号)
1/7
EDINET提出書類
株式会社ニップン(E00345)
内部統制報告書
1【財務報告に係る内部統制の基本的枠組みに関する事項】
代表取締役社長前鶴 俊哉は、当社並びに連結子会社及び持分法適用会社(以下当社グループという)の財務報告
に係る内部統制の整備及び運用に責任を有しており、企業会計審議会の公表した「財務報告に係る内部統制の評価及
び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」に示され
ている内部統制の基本的枠組みに準拠して財務報告に係る内部統制を整備及び運用しております。
なお、内部統制は、内部統制の各基本的要素が有機的に結びつき、一体となって機能することで、その目的を合理
的な範囲で達成しようとするものであります。このため、財務報告に係る内部統制により財務報告の虚偽の記載を完
全には防止又は発見することができない可能性があります。
2【評価の範囲、基準日及び評価手続に関する事項】
財務報告に係る内部統制の評価は、2022年3月31日を基準日として行われており、評価に当たっては、一般に公正
妥当と認められる財務報告に係る内部統制の評価の基準に準拠しました。
本評価においては、連結ベースでの財務報告全体に重要な影響を及ぼす内部統制(全社的な内部統制)を評価した
うえで、その結果を踏まえて、評価対象とする業務プロセスを選定しております。当該業務プロセスの評価において
は、選定された業務プロセスを分析したうえで、財務報告の信頼性に重要な影響を及ぼす統制上の要点を識別し、当
該統制上の要点について整備及び運用状況を評価することによって、内部統制の有効性を評価しました。
財務報告に係る内部統制の評価の範囲は、当社グループについて、財務報告の信頼性に及ぼす影響の重要性の観点
から必要な範囲を決定しました。財務報告の信頼性に及ぼす影響の重要性は、金額的及び質的影響の重要性を考慮し
て決定しており、当社と連結子会社との合計27社を対象として行った全社的な内部統制の評価結果を踏まえ、業務プ
ロセスに係る内部統制の評価範囲を合理的に決定しました。なお、連結子会社19社及び持分法適用会社14社について
は、金額的及び質的重要性の観点から僅少であると判断し、全社的な内部統制の評価範囲に含めておりません。
業務プロセスに係る内部統制の評価範囲については、各事業拠点の前連結会計年度の売上高(連結会社間取引消去
後)の金額が高い拠点から合算していき、前連結会計年度の連結売上高の概ね3分の2に達している5事業拠点を
「重要な事業拠点」としました。選定した重要な事業拠点においては、当社グループの事業目的に大きく関わる勘定
科目として売上高、売掛金及び棚卸資産に至る業務プロセスを評価の対象としました。さらに、選定した重要な事業
拠点にかかわらず、それ以外の事業拠点をも含めた範囲について、重要な虚偽記載の発生可能性が高く、見積りや予
測を伴う重要な勘定科目に係る業務プロセスやリスクが大きい取引を行っている事業又は業務に係る業務プロセスを
財務報告への影響を勘案して重要性の大きい業務プロセスとして評価対象に追加しております。
3【評価結果に関する事項】
上記の評価の結果、2022年3月31日現在の当社グループの財務報告に係る内部統制は有効であると判断いたしまし
た。
4【付記事項】
該当事項はありません。
5【特記事項】
(当社グループの情報ネットワークがサイバー攻撃を受けシステム障害が発生した問題等)
(1)サイバー攻撃によるシステム障害の発生とその後の取り組み
2021年7月7日に子会社のニップンビジネスシステム株式会社(以下、ニップンビジネスシステム)において管理
運用する当社グループの情報ネットワークが、外部からのサイバー攻撃を受け、大部分のサーバーが同時多発的に全
部又は一部を暗号化されることにより、システム障害が発生しました。
当社は速やかに全サーバーの停止と社内外のネットワークの遮断を行った結果、グループネットワーク内で運用し
ている当社及び国内グループ会社の財務会計システム、販売管理といった主要な基幹システムを含む全ての社内シス
テム、データが保存されているファイルサーバー、バックアップサーバーへのアクセスができなくなりました。
当社経営陣は、障害発生当日である2021年7月7日にシステム関連部門を中心とした対策チームを組成し、危機管
理基本規程に基づき危機管理委員会を設置しました。
その後、2021年7月19日に同委員会を改組して「大規模システム障害対策本部」を立ち上げて、本件インシデント
の原因究明等について、外部のサイバーセキュリティ専門家に依頼して調査を実施し、侵入経路や影響範囲を特定す
るとともに、その助言に基づいて二次被害の抑止策の実施及び被害を受けた情報システムや業務関連データの復旧
(情報システムの再導入を含む)に注力していくこととしました。
当社単体のその他の業務関連システムについては、データの整合性や復旧プロセスの合理化を図るため、データの
上流である受発注、入出庫、在庫管理等を担う物流管理・販売管理システムの復旧を最優先し、下流へと順次対応を
行っていくことを基本方針とし、復旧に向けて取り組んでまいりました。外部専門家を交えて対応に当たった結果、
2/7
EDINET提出書類
株式会社ニップン(E00345)
内部統制報告書
物流管理システムについては、2021年7月7日のシステム停止後から受注出荷の記録・入出庫等の対応を手作業で
行っている状態であったため、システム復旧までの暫定的な処置として、受発注機能のみを搭載する代替システムを
導 入し、2021年9月上旬から稼働しました。当社の業務関連システムについては、2022年の年始に主要な基幹システ
ムの復旧を完了いたしました。
一方、決算の取り纏めについては、従来の財務会計システムの復旧の目途が立たない状況下で、当社は新規に財務
会計システム(以下、新財務会計システム)を購入して、新たに財務報告に係る内部統制を構築し、決算を一からや
り直すことが虚偽記載のない正確な決算を報告するための最速かつ最善な方法との判断に至りました。この判断に
沿って、新財務会計システムは2021年7月21日から別環境(クラウド版)にてシステムの導入の手配を進め、2021年
9月17日からフルバージョンでの利用が可能になりました。連結会計システムについては、2021年8月30日から利用
を開始しています。ただし、新財務会計システムは利用開始となったものの、他の基幹システムとの連動ができず、
手作業による対応が必要となる状況が継続していました。
当社は決算作業を速やかに進めるために外部人材活用や外部専門家の支援を受けたものの、企業内容等の開示に関
する内閣府令に規定する四半期報告書の提出期限延長に関する承認申請を提出せざるを得ませんでした。当社は2021
年8月16日に2022年3月期第1四半期報告書の提出期限を2021年11月15日とする延長に関する承認申請書を関東財務
局へ提出し、ご承認をいただきました。
2022年3月期第1四半期の決算取り纏めに当たり、決算を行うために必要なデータ及び資料等が当社及びグループ
会社の各従業員が使用しているパソコン(以下、PC)内のフォルダやニップンビジネスシステムが保管しているD
VD等の記録媒体に存在しているか、可能な限りの探索調査を実施しました。印刷物として残されていたものを収集
し、2021年6月以前の業務プロセスによる作成していた紙ベースの入出金帳票やDVDのバックアップデータを基
に、システム取り込み様式で用意したエクセルシートに仕訳伝票を入力して作業を取り進めることといたしました。
その結果、当社は2021年11月15日に2022年3月期第1四半期報告書を提出しました。
2022年3月期第2四半期決算については、二次障害防止のため、当社情報ネットワークを完全に遮断のうえ、「原
因調査」、「侵害調査」、「漏洩調査」並びにセキュリティ対策を順次、相応の時間を掛け実施しております。会計
データに連動している業務管理や物流管理など停止した基幹システムの復旧が受発注機能のみを搭載した代替システ
ムの仮復旧に留まったため、大半の基幹システム復旧が第3四半期末である年末にずれ込みました。その結果、利用
可能になった新財務会計システムを他の基幹システムと連動させることができず、正常な状態であれば、各システム
に入力された日々の取引データが自動的に集計され、振替伝票データへ変換され、財務会計システムへ自動取り込み
されるという一連のプロセスを全て手作業で実施することとなり、決算処理の元となる帳票をエクセル等による手作
業で作成せざるを得ない状況となりました。このように、手作業で作成された帳票類を基に本来自動作成されていた
振替伝票を経理担当者が一から作成する必要があり、売上の集計や入金の消し込みなどに多大な時間を要することと
なりました。会計監査人のレビューに関しても、第2四半期以降の基幹システムが停止している期間は、当社の業務
プロセスを大きく変更せざるを得ない特殊な状況になったため、変更プロセスに対応する当社の新たに構築した内部
統制を理解した上で必要な手続を経て実施することとなり、これまでよりも多くの時間を要することとなりました。
このように、決算とレビューに多大な時間を要することとなったため、当社は2021年11月12日に2022年3月期第2四
半期報告書の提出期限を2022年1月31日とする延長に関する承認申請書を関東財務局へ提出し、ご承認をいただき、
2022年1月31日に2022年3月期第2四半期報告書を提出しました。
2022年3月期第3四半期決算については、単体決算でのエクセル等による手作業による集計作業に習熟度が向上し
たものの、2022年3月期第2四半期と同様に未だに基幹システムがもとの状況まで復旧できておらず、決算に時間を
要することとなりました。当社は2022年2月14日に2022年3月期第3四半期報告書の提出期限を2022年3月18日とす
る延長に関する承認申請書を関東財務局へ提出し、ご承認いただき、当社は2022年3月18日に2022年3月期第3四半
期報告書を提出しました。
2022年3月期においては、2022年1月以降、会計データに連動している業務管理や物流管理などの基幹システムと
新財務会計システムとの自動連係が漸くシステム障害前と同様の会計処理ができる状態に復旧しました。当社は、
2022年3月期有価証券報告書を法定期限内の2022年6月29日に提出しました。
(2)本件インシデントの原因と対策
① 本件インシデントの原因
サイバーセキュリティに関するリスクが高まる中で、インターネットと当社ネットワークシステムの境界線を制御
する機器(以下、VPN)の脆弱性についての対応が遅れた結果、外部の攻撃者の侵入を許して本件インシデントが
発生してしまったことに関して、その根本原因を明らかにし、社内の制度や内部統制の運用上の問題を調査・分析・
整理するとともに、再発防止策の策定と、サイバーセキュリティの体制強化を行うため、当社代表取締役の指揮の下
に外部の専門家を含めて根本原因調査を実施した結果、サイバーセキュリティに係るシステムの技術的な脆弱性対応
が十分にできていなかったという事実の指摘がなされるとともに、その事実の背景にある組織や内部統制の課題が3
件指摘されました。
サイバーセキュリティに関しては、当社では従来、端末PCへの不正侵入検知システムやウィルス対策ソフトの導
入・適時の更新(対策ソフトのAgentがサーバー・PC上で1日に数回、自動的に更新する仕組み)を実施し、
常にPC・サーバーが最新の状態で保たれる仕組みを保持しておりました。また、ファイアーウォール(以下、F
3/7
EDINET提出書類
株式会社ニップン(E00345)
内部統制報告書
W)については外部のマネージドサービス会社(利用者に代わり、サーバーなどの管理業務を行う会社)に業務を委
託し、専門的立場からの助言や設定見直しが必要な場合には提案を受ける仕組みが構築されていました。
バックアップ体制については、10年程度前までは各拠点で個々のサーバーを運用していたものを、一元管理に移行
し、かつ、ディザスタリカバリー(災害復旧)の視点も取り入れた上でサーバーを地理的に離れた3拠点のデータセ
ンターに分散させました。
本件インシデントが発生したのは、当社が構築したネットワークシステムに隠れていた脆弱性を突いて外部から侵
入されたことに因るものと判明しています。VPN及び社内認証やアクセス制御を管理するサーバー(以下、AD
サーバー)にパッチ処理はなされていたものの最新ではなく、パッチを更新すべきVPNの脆弱性情報が2021年5月
に公開された後、まだ当社の機器に最新の状態が適用される前に本件インシデントが発生し、システムのネットワー
ク内に二重のFWが無かったことで被害が拡大しました。
この当社ネットワークシステムに隠れていた脆弱性を生み出した背景にある内部統制に係る原因として指摘された
3件の課題の内容は以下のとおりです。
1) サイバーセキュリティに関するポリシー群が不十分であったこと
これまで当社には、情報セキュリティ規程やニップンネット運用・利用規則といった規程類がありました。
子会社のニップンビジネスシステムにも情報セキュリティ規程やニップンネット運用・利用規則をはじめ、シ
ステム運用管理規程やシステム開発・導入規定など各種規程類がありました。しかし、サイバーセキュリティ
リスクの重大性及びこれに対する対策の重要性を全社の基本方針として明確に示したものではありませんでし
た。当社、ニップンビジネスシステムそれぞれの情報セキュリティ規程においても、具体的な運用ルールや手
続きを記した要領、ガイドライン、マニュアル等は定められていませんでした。今回のようなインシデントの
際の行動指針やフローチャートも明確に規定されていませんでした。
2) サイバーセキュリティ管理体制における明確な指示系統・責任体制の曖昧さ
情報システム管掌役員は選任されていたものの、サイバーセキュリティリスク管理体制を構築し遂行する役
員レベルの総括責任者としての役割は曖昧でした。本来一元的管理されるべきセキュリティ対策の内容を決定
し実施する権限が当社にある筈のところ、実務現場では、ニップンビジネスシステムへ指示責任が不明確なま
ま同社の担当者の個人の資質に頼った業務遂行がなされていました。
3) IT・サイバーセキュリティに関する経営層のリーダーシップに基づく管理体制や経営資源(人材、投資等)
の確保が不十分だったこと
サイバーセキュリティ対策を包含するIT全般の投資については投融資委員会等で計画されており、一定の
投資もされ、実績の報告もされてきました。しかし、戦略や計画等が中期経営計画及びBCP等に詳細に盛り
込まれてはおらず、サイバーセキュリティを担える人材もここ最近毎年新人を採用してきているものの、専門
的な知識のある人材が充分に配置されたというには不十分な状態でした。その結果、サイバーセキュリティリ
スクの把握や検討が困難となり、必要な人的資源の確保、システム関連の物的資源確保の予算措置及び現場か
ら経営陣に対しての現状の充分な報告がされなかったことで、経営陣のリーダーシップが不足していました。
4/7
EDINET提出書類
株式会社ニップン(E00345)
内部統制報告書
② 本件インシデントの改善策
このような指摘を受けて、当社の行ったサイバーセキュリティに係るシステムの技術的な脆弱性対応に関しては、
当社システムと外部環境は現状遮断を継続し、パッチ適用を実施後に遮断を解除する方針のもと、3月末までに情報
セキュリティ管理規程に基づき脆弱性管理ルールに定められたバッチ適用判断基準に従い、3月末時点で復旧してい
る最重要のサーバーの中からパッチ適用範囲を定め、ADサーバーのセキュリティパッチを実施しました。また、
サーバーにもFWを実装してFWの二重化をいたしました。その他にも、リモートネットワークアクセスの多様素認
証、ネットワーク侵入検知・防止ソリューションの導入、導入ソフトの許認可やサポート状況の確認徹底等の対策を
実施しています。バックアップについても、各システムの重要度に応じたバックアップ方針(方式、頻度、保管先)
に従って、自動バックアップや復旧データの保護を実施しました。また、事実の背景にある内部統制に係る原因とし
て指摘された3件の課題に対する改善の内容は以下のとおりです。
1) サイバーセキュリティに関するポリシー群が不十分であったこと
当社は2022年3月28日開催の取締役会で、「情報セキュリティ基本方針」の制定を決議しました。同時に
「情報セキュリティ管理規程」等の規程類を整備いたしました。具体的な運用ルールや手続きを記した要領、
ガイドライン、マニュアル等を定め、インシデント発生時の行動指針やフローチャートを策定し、脆弱性管理
ルールにもとづいたパッチ適用の運用をし、システムの重要度に応じたバックアップ方針(バックアップ方
式、頻度、保管先)に基づき運用し、インシデント発生時の財務報告への影響を低減する復旧体制を構築しま
した。不正アクセスを軽減するために、必要な人に必要な範囲のみのアクセスを提供するネットワークの制
御・不正アクセスの検知に関して規定しました。サイバーセキュリティンシデント発生時に実施すべき一連の
対応を規定しました。これによって、サイバーセキュリティリスク管理体制の構築や運用手続の基本となる体
制ができあがりました。
2) サイバーセキュリティ管理体制における明確な指示系統・責任体制の曖昧さ
2022年3月に上記情報セキュリティ管理規程において、サイバーセキュリティ管理体制の明確な指示系統・
責任体制を定めるとともに、2022年2月25日開催の当社取締役会において情報システム推進部を新たに設置す
ることを決議し、2022年3月28日の当社取締役会においてIT管掌取締役選任の報告がありました。これに
よってサイバーセキュリティ対策における責任と権限が明確化され、運用面における業務内容の可視化・共有
化が進み、属人化を防ぎ、IT戦略に関する他部門との調整や具体的対応をつつがなく行うことができる体制
が構築されました。
3) IT・サイバーセキュリティに関する経営層のリーダーシップに基づく管理体制や経営資源(人材、投資等)
の確保が不十分だったこと
本件インシデント発生以後、直ちに対策本部を設置して当社代表取締役の指示のもと、本件インシデントで
指摘された課題に対する改善に全社一丸となって取り組んでおります。IT関連の新体制が決議されたことに
より、必要な人材確保や予算措置がより具体的かつ迅速に実行できる組織基盤が構築されました。2022年3月
28日開催の当社取締役会に内部監査の一環として「情報セキュリティ監査」の整備が報告されました。内部監
査の結果は当社取締役会に報告されます。前述した当社の改善活動に連動して、当社グループの情報ネット
ワークを管理運用するニップンビジネスシステムの2022年3月28日開催の取締役会においても、社内規程類の
整備を決議し、これらの規程の内容に沿って運用されていることを確認いたしました。
これによって、経営層のサイバーセキュリティに対する意識向上が図られて、ITに係る経営戦略(人材確
保・投資を含む予算措置など)の体制が構築され、適切なリスク評価と対応が行われました。
当社は今回のインシデントに対する再発防止策に取り組むことで、適切な財務報告体制を確保するために全社的な
内部統制(リスク評価と対応)を再整備することといたしました。目指すのは、2021年7月7日未明に当社に対して
行われたサイバー攻撃と同様の手口による攻撃に対して、適切に防御し、かつ、復旧するための規程整備とセキュリ
ティ上の改善を実施することです。
そのレベルは3月末までにセキュリティコントロールの指標であるCIS Cоntrоlsの要求事項から効率
性を重視し、情報セキュリティ管理規程に必要情報を集約しながら策定しました。詳細手順が必要なものは各ルール
として整備いたしました。具体的には、情報セキュリティ基本方針や情報セキュリティ管理規程等を整備し、同規程
でサイバーセキュリティ管理体制の明確な指示系統と責任体制を定めました。また、これらの規程の内容に沿って、
3月末のシステム環境で、システム及びデータベースの脆弱性強化対策(パッチ、バックアップ等)が定めたポリ
シーに沿って行われていることを確認いたしました。
この施策は当社が2021年7月7日未明に受けたサイバー攻撃と同様の手口によるリスクに対応しております。従っ
て、2022年3月末日時点において、当社は本件インシデントと同様の手口に対するサイバーセキュリティのリスクに
対応した適正な財務報告を行う体制を確保いたしました。
さらに、外部の専門家を含めた社内調査の結果、3月までに整備が必要とされた情報システム推進部の設置を2022
年2月25日開催の当社取締役会で決議し、同4月からのIT管掌役員選任を2022年3月28日開催の当社取締役会で報
5/7
EDINET提出書類
株式会社ニップン(E00345)
内部統制報告書
告しました。併せて、当該部署の人材や予算の確保や責任体制への組織基盤の構築を行うとともに、情報セキュリ
ティ監査体制を整備し、運用しました。
以上の結果から、当社の2022年3月末時点における全社統制(リスク評価と対応)について、適正に整備・運用さ
れていると結論づけました。
(3)本件インシデントの内部統制上の整理(不備の特定と評価)
① 全社的な内部統制について
当社はインシデント直後の早い時期からいわゆる封じ込めのためにシステムを止めるとともにネットワークを切り
離して影響の拡大を防ぎ、原因究明のために必要な情報の保全を図りました。当時、システム復旧の目途が立たない
状況下で、当社は新システムを導入して新しい内部統制を構築し、決算を一からやり直すことが虚偽記載のない正確
な決算を報告するための最速かつ最善な方法との判断に至りましたが、その一方で業務プロセスの変更や決算開示日
程の遅れなど会社経営に重大な影響を与える結果となりました。
これは、ランサムウェアによるサイバー攻撃の被害が経済界で顕著になり、2020年12月18日の経済産業省によるサ
イバーセキュリティの取組強化に関する注意喚起の発出を受けて各企業が予見されるリスクとしてサイバー攻撃を認
識し、セキュリティ強化へ一斉に取り組み始めるなど、サイバーセキュリティリスクの高まりの中で、当社において
はサイバーセキュリティリスクを認識していたものの、その対応強化が遅れることとなりました。
結果として、サイバーセキュリティに関するリスクの評価が不十分であったことから、IT投資予算の不足、専門
性を備えた人材の不足等により、要因別の詳細な分析及び対応方針の策定が行われず、システムへの侵入を許し、四
半期報告書の法定提出期限までに財務諸表の公表ができない状況が生じたという重大な事実を踏まえると、サイバー
攻撃による被害を受けた2021年7月7日以前において、サイバーセキュリティに関する全社的な内部統制(リスクの
評価と対応)について、重要な不備があったと評価しております。このため、当社の2021年3月末時点の財務報告に
関する内部統制は有効ではなく、開示すべき重要な不備が存在すると評価いたしました。従って、当社は本日2021年
6月29日に提出した第197期内部統制報告書の訂正報告書を提出いたしました。
このような四半期報告の遅延という重要な事態をもたらす状態については、前述の記載のとおり、セキュリティ
パッチを実施し、FWの二重化を行い、内部統制に係る原因として指摘された3件の課題に対する改善策を内部統制
の基準日である2022年3月31日までに実施いたしました。従って、当社の2022年3月末時点における全社統制(リス
ク評価と対応)については、適正に整備・運用されており、重要な不備は改善されていると評価しております。
また、当社及びグループ内において、全社的な内部統制のサイバーセキュリティに係る類似の課題がないことを確
認しています。
② IT全般統制(ITGC)について
本件インシデントの直接的な原因は、VPNの脆弱性をつかれて攻撃者に侵入され、ADサーバーの脆弱性に乗じ
て暗号化されたことです。
当社の場合、財務データの生成・保管に係る各システムについてITシステムの開発、運用保守、アクセス管理等
の手続をルールに定め、経営者評価の過程で各システムのIT全般統制の有効性を評価しております。なお、VPN
及びADサーバーは、会計システムサーバー等とは異なり、財務データの生成・保管に直結しないため、IT全般統
制の対象とはしておりません。
本件インシデントにより、財務報告に係るシステムにつながる汎用サーバー自体は暗号化されてデータの取り出し
ができなくなったものの、IT全般統制の評価対象であるシステムのパスワード管理が有効に機能していたため、財
務データシステムそのものへの侵入は阻止できた結果、保管されていた財務報告に係るデータやプログラムの不正な
改ざんは検出されず、財務報告に金額的あるいは質的な重要な虚偽記載につながる事実はありませんでした。
2022年3月期の内部統制監査制度の経営者評価で、各システムのIT全般統制を評価した結果、不備は検出されま
せんでした。従って、2022年3月期のIT全般統制について有効と評価いたしました。
6/7
EDINET提出書類
株式会社ニップン(E00345)
内部統制報告書
(4)補足説明資料
① 本件インシデントとネットワークシステムの範囲
② ITGCの対象システム範囲
7/7