累積異常収益率

累積異常収益率（CAR）は、金融分野のイベントスタディ手法に由来する核心的な指標であり、データ漏洩の公表など特定のイベントが、一定期間内に企業の株価に与える正味の影響を測定するために用いられます。計算の核心は、まず資本資産価格モデル（CAPM）等を用いて「期待収益率」を推定し、次にそれを「実際の観測収益率」から差し引いて「異常収益率」を算出、最後にイベントウィンドウ内の日々の異常収益率を合計してCARを求めます。CARはISO/IEC規格で直接定義されていませんが、ISO/IEC 27005（情報セキュリティリスクマネジメント）の「リスクアセスメント」と「影響分析」を実践する強力なツールです。これにより、風評被害といった無形の損害を株主価値の具体的な損失として定量化し、情報セキュリティガバナンスの意思決定に説得力のある根拠を提供します。

企業リスク管理において、累積異常収益率（CAR）を応用することで、セキュリティインシデントの財務的影響を定量化できます。具体的な手順は以下の通りです。 1. **イベント定義とデータ収集**：分析対象のリスクイベント（例：データ漏洩の公表）を特定し、公表日（T日）を確定します。次に、分析期間である「イベントウィンドウ」（例：T-2日からT+2日）を設定し、対象企業および市場インデックス（例：TOPIX）の株価データを収集します。 2. **異常収益率の計算**：過去のデータ（推定期間）を用いて、企業の収益率と市場の収益率の関係をモデル化し、イベントウィンドウ内の「期待収益率」を予測します。各日の「実績収益率」から「期待収益率」を引くことで、市場全体の動きを除いたイベント固有の影響である「異常収益率（AR）」を算出します。 3. **累積と分析**：イベントウィンドウ内の日々のARを合計してCARを算出します。CARが統計的に有意な負の値であれば、インシデントが株価に定量的な負の影響を与えたことを示します。この結果は、セキュリティ投資のROIを算出し、取締役会にリスクの深刻度を財務指標で報告するための客観的な根拠となります。

台湾企業が累積異常収益率（CAR）を導入する際には、主に3つの課題に直面します。 1. **適用性とデータアクセスの限界**：CAR分析は上場企業に限定されるため、台湾の大多数を占める非上場の中小企業には直接適用できません。 **対策**：非上場企業は、NISTサイバーセキュリティフレームワークなどに基づき「年間予想損失額（ALE）」をモデル化するか、インシデント対応の直接コストを積算するなどの代替的な定量化手法を採用します。 2. **市場の特異性**：台湾株式市場は個人投資家の比率が高く、市場の反応が理論モデルの仮定通り「効率的」でない可能性があり、CARの推定精度に影響を与えることがあります。 **対策**：分析の頑健性を確保するため、イベントウィンドウを長めに設定したり、異なるベンチマークを使用したりするテストを行います。 3. **交絡イベントの問題**：セキュリティインシデントの公表が他の重要ニュースと重なると、株価変動の原因を特定することが困難になります。 **対策**：分析設計段階で、交絡イベントが存在する事例を排除する厳格なスクリーニングプロセスを導入します。ISO/IEC 27035（インシデント管理）に準拠し、正確な事後分析を可能にするための詳細なインシデント記録を維持することが重要です。

積穗科研は台湾企業のcumulative abnormal returnsに特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact