結論:攻撃1件の「経営コスト」が確定値で示された——最終利益▲475億円・決算開示5カ月遅延
アサヒグループホールディングス(アサヒGHD)は2026年6月11日、「2025年12月期通期連結業績予想の修正に関するお知らせ」を適時開示した(出典:アサヒグループホールディングス ニュースルーム「2025年12月期通期連結業績予想の修正に関するお知らせ」2026年6月11日付、2026年7月3日閲覧)。報道によれば、親会社の所有者に帰属する当期利益の予想は従来から475億円引き下げられて1,200億円(前期比38%減)となり、通期決算の発表は7月8日を予定している(出典:日本経済新聞「アサヒGHDの25年12月期、純利益38%減、サイバー攻撃響く」、2026年7月3日閲覧)。
影響を受けるのは同社だけではない。この開示は、2025年9月29日のランサムウェア攻撃という「1件のインシデント」が、売上・利益・決算開示・株主総会運営にまで及ぼす経営インパクトを、上場企業の確定に近い数字として社会に提示した。基幹システムを持つすべての企業にとって、自社の停止時損失を試算し直す材料が揃ったということだ。
次に確認すべきことは3つ。①自社の基幹(受注・出荷・会計)が止まった場合の1日あたり損失額、②バックアップ/DRが「復旧手順まで実測済みか」、③初動体制と手作業の代替手順が文書化されているか——本稿で順に整理する。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
何が開示されたか:下方修正の内訳
6月11日の適時開示に基づく報道各社の数字を整理する(一次開示の本文数値は当社でPDF原本を精査中のため、以下は日経・ScanNetSecurityの報道に基づく値である)。
| 項目 | 修正後予想 | 修正幅 | 補足 |
|---|---|---|---|
| 売上収益 | 2兆8,900億円 | ▲600億円(▲2.0%) | 日本事業のシステム障害による減収が主因と報道 |
| 事業利益 | 2,600億円 | ▲300億円 | 前期比では9%減と報道 |
| 親会社帰属当期利益 | 1,200億円 | ▲475億円 | 前期比38%減。修正前予想1,675億円からの修正率は約28% |
(出典:日本経済新聞・前掲記事/ScanNetSecurity「アサヒグループホールディングスへのサイバー攻撃、システム障害などの影響で売上収益が想定を600億円下回る見込み」2026年6月16日、いずれも2026年7月3日閲覧。修正率28%は修正幅475億円÷修正前予想1,675億円から当社算出)
下方修正の理由として報道が挙げるのは、システム障害への対応費用(商品在庫の評価減を含む)、売上の減少、原材料費の想定以上の増加である。つまり475億円の全額がサイバー攻撃起因と断定はできないが、開示が「システム障害」を修正理由の中心に据えている点は重い。
数字に表れない「第2の損失」——決算・ガバナンスの遅延
見落とされがちだが、本件で特徴的なのは財務報告プロセスそのものが被害を受けたことだ。
- 2025年12月期の通期決算発表は7月8日予定(出典:アサヒグループホールディングス ニュースルーム「通期決算の発表日に関するお知らせ」2026年5月22日付、2026年7月3日閲覧)。12月期決算企業は例年2月中旬に開示しており、約5カ月の遅延となる(開示遅延の経緯:同ニュースルーム「2025年12月期決算短信の開示が期末後50日を超えることに関するお知らせ」2025年11月27日付)
- 有価証券報告書の提出期限も延長申請により2026年3月31日から7月27日へ延びると報じられている(出典:日本経済新聞「アサヒ、有報提出期限の延長申請 サイバー攻撃影響で決算手続き遅延」、2026年7月3日閲覧)
- 6月11日には臨時株主総会招集のための基準日設定(6月30日)も開示されており、通常の総会スケジュールが維持できなかったことがうかがえる(出典:アサヒグループホールディングス ニュースルーム 2026年6月11日付開示、2026年7月3日閲覧)
- 2026年12月期の第1四半期決算も発表延期が公表済みで、影響は翌期の開示にまで連鎖している
売上や利益の減少は1期で吸収できても、監査手続き・内部統制・開示体制の復旧には年単位の尾を引く。この「開示遅延コスト」は損益計算書に単独項目として現れないが、株主・金融機関・取引先との信頼に直結する経営リスクである。
時系列で見る:発生から「確定値」まで9カ月
| 時期 | 出来事 |
|---|---|
| 2025年9月29日 | サイバー攻撃発生。受注・出荷・コールセンター業務が停止 |
| 2025年10月3日 | ランサムウェアによる攻撃と公表 |
| 2025年10月7日 | 犯行グループ「Qilin」が声明。同社は要求に応じずと報道 |
| 2025年10月14日 | 第3四半期決算の開示遅延を公表 |
| 2025年11月27日 | 通期決算の開示遅延(期末後50日超)と、個人情報漏えいの可能性を公表 |
| 2025年12月上旬 | システムを使った受注・出荷業務を順次再開と報道 |
| 2026年2月 | ビール・飲料物流が正常化と報道。漏えい確認件数・再発防止策を発表 |
| 2026年3月24日 | 有価証券報告書の提出期限延長を申請と報道 |
| 2026年4月7日 | 全商品の出荷再開と報道 |
| 2026年6月11日 | 通期業績予想を下方修正(適時開示) |
| 2026年7月8日(予定) | 2025年12月期 通期決算発表 |
(出典:アサヒグループホールディングス各適時開示および日本経済新聞・ScanNetSecurity各報道、2026年7月3日閲覧)
注目すべきは、攻撃発生から全商品出荷再開まで約6カ月、経営インパクトが数字として確定するまで約9カ月かかっている点だ。「復旧=システムが動くこと」ではない。物流の正常化、会計数値の確定、監査対応まで含めた全体が復旧である。
独自分析:売上▲2%が最終利益▲28%に増幅される構造
今回の数字で最も実務的な示唆は、売上のわずか2.0%の減少が、最終利益の予想を28%押し下げたという非対称性だ(いずれも報道値からの当社算出)。
理由は構造的に説明できる。製造業・装置産業では工場・物流・人件費などの固定費が売上停止中も発生し続けるため、失われた売上はほぼそのまま利益から消える。さらに今回は、報道された下方修正理由(システム障害対応費用・減収・原材料費増・減損損失)に加え、決算遅延に伴う監査・開示対応の負担も利益段階に影響したとみられる(この点は推測であり、内訳は決算発表で確認すべきだ)。売上影響600億円に対し利益影響がそれに近い規模(事業利益▲300億円+当期利益段階でさらに拡大)で出ているのはこのためと考えられる。
これを自社に引き付けると、次の教訓になる。「売上の数%程度の影響だから大丈夫」という感覚は、固定費型のビジネスでは通用しない。停止損失は売上比ではなく利益比で評価しなければ、経営判断を誤る。
自社の「基幹停止1日あたり損失」を試算するフレーム
アサヒGHDの事例を物差しに、自社の停止時損失を概算する手順を示す。精緻なBIA(ビジネスインパクト分析)の前段として、経営会議に出せるレベルの試算は30分で作れる。
- 日商を出す:年間売上高 ÷ 営業日数(例:年商50億円・営業日250日 → 日商2,000万円)
- 停止時の売上蒸発率を掛ける:受注・出荷が完全停止なら100%、手作業代替が可能なら実現可能な処理能力を差し引く(アサヒの事例ではFAX受注などの手作業対応が行われたと報じられているが、処理能力は限定的だった)
- 復旧曲線を仮定する:完全停止期間+段階復旧期間。アサヒの実績(システム再開まで約2カ月、物流正常化まで約4.5カ月)は大企業の基幹の複雑さを反映した数字であり、中堅企業でも「週単位」ではなく「月単位」で見積もるのが安全側だ
- 売上以外の損失を加算する:在庫評価減・廃棄、障害対応の外部費用、残業・応援人件費、決算・監査の追加コスト、顧客離脱(競合への切り替え)
- 利益への転写を確認する:算出した損失を営業利益・最終利益と比較する。売上比では小さく見えても、利益比では致命傷になり得る
仮に年商50億円・営業利益率5%(2.5億円)の企業で、基幹停止10営業日+段階復旧20営業日(平均50%稼働)なら、売上蒸発は単純計算で約4億円。対応費用を除いても1回のインシデントで年間営業利益が消える計算になる。この試算は仮定を置いた機械的なものだが、「わが社ならいくらか」を経営層と共有する出発点としては十分だ。
点検チェックリスト:アサヒの事例から逆算する7項目
今回の事例が示すのは、「侵入を防げるか」だけでなく「止まった後にいくらで・何日で戻れるか」が経営の分水嶺だということだ。以下を今月中に確認したい。
- 受注・出荷・会計の基幹システムについて、停止1日あたりの損失額を経営層が数字で把握しているか
- バックアップは本番ネットワークから分離(オフライン/イミュータブル)されており、ランサムウェアに巻き込まれない設計か
- バックアップからの復旧を「実際に」試したことがあるか。机上のRTOではなく実測値があるか
- 基幹停止時の手作業代替手順(紙・FAX・電話での受注等)が文書化され、現場が訓練済みか
- 会計・決算システムが業務系と一蓮托生になっていないか。決算を締められない事態を想定しているか
- 初動体制(ネットワーク遮断の判断権限・外部専門家への連絡先・広報/開示の手順)が決まっているか
- 取引先・監査法人・主要行への影響連絡フローがあるか
3つ以上「いいえ」があるなら、対策の優先順位は技術論ではなく経営マターとして扱うべき段階にある。まずセキュリティ対策の全体像を把握したうえで、侵入経路になり得る弱点はセキュリティ脆弱性診断で棚卸しするのが定石だ。
よくある質問
Q1. 475億円はすべてサイバー攻撃による損失なのか?
いいえ。報道によれば下方修正の理由にはシステム障害対応費用・減収に加え、原材料費の想定以上の増加も含まれる。攻撃単独の損失額として475億円を引用するのは不正確で、「攻撃を主因とする複合的な下方修正」と理解するのが正しい。内訳の詳細は7月8日予定の決算発表で示される可能性がある。
Q2. 身代金は支払われたのか?
犯行声明を出したQilinの要求に同社は応じなかったと報じられている。支払わない判断をした場合でも、今回のように復旧費用と機会損失が数百億円規模に達し得ることが、この事例の重要な示唆である。
Q3. 大企業の話であって、中堅・中小には関係ないのでは?
むしろ逆だ。売上2%の毀損が利益28%の下方修正につながる増幅構造は、固定費を抱えるすべての企業に共通する。復旧体制が薄い中堅企業では、停止期間がアサヒより長引くリスクもある。本稿の試算フレームで自社の数字を出してみることを勧める。
Q4. 進行中のインシデント対応について知りたい場合は?
発生直後の初動やソーシャルエンジニアリング型攻撃への備えは、現在進行中のアフラック生命の情報漏えい事案の初動対応で整理している。本稿は「確定した経営インパクトとDR」、同記事は「進行中事案の初動」と読み分けてほしい。
基幹停止リスクをGXOに相談すべきタイミング
「バックアップは取っているが、戻せるかは試したことがない」「基幹が止まった場合の損失額を役員会で説明できない」——この状態は、アサヒGHDの事例が示した増幅構造にそのまま晒されている状態だ。とくに7月8日の決算発表以降、取引先や金融機関からセキュリティ体制を問われる場面は増える。
GXOでは、ランサムウェア被害を想定したインシデント対応支援で初動体制と復旧手順の整備を支援するほか、平時からのセキュリティ顧問(リテイナー)としてバックアップ/DRの実効性点検・復旧訓練・経営層向けリスク数値化まで伴走している。本稿の試算フレームを自社の実数で精緻化したい、DR設計を第三者の目で点検してほしいという場合は、基幹システムの停止リスク診断の相談からご連絡いただきたい。7月の決算開示で内訳が明らかになり次第、本稿は続報で更新する予定である。






