米国証券取引委員会(SEC)が、上場企業でサイバー・インシデントが生じた際、その事実を4日以内に開示する義務があるとする新ルールを制定した話題です。2023年3月にルール案が公表されパブリックコメント期間が設けられていましたが、7月に最終案が発表され、8月末より施行となっています。
■ サイバー・インシデント開示規制の概要
米国証券取引委員会(SEC)は、上場企業に対して「サイバーセキュリティに関する重大なインシデント(Material Cybersecurity Incidents)」が発生した場合、4日以内の公表義務があるとする新ルールを制定した。同時に、年次報告(10-K)においては、サイバーセキュリティに関するリスク管理体制/ガバナンス/戦略を記載する義務を追加している。新規則を設けた背景として、SECでは、サイバー・インシデントに対する透明性を高めることで、投資家保護/金融市場保護を推進する必要があるからだとしている。
これまでも、例えば大手金融機関でサイバー・インシデントがあった場合、金融当局とサイバーセキュリティ&インフラストラクチャー・セキュリティ庁(CISA)への報告義務があったが、今回のSEC規則のような「情報開示義務」ではなかった。
■ 反対意見もある
証券業界の業界団体であるSIFMA(証券業金融市場協会)では、3月にSECからこの情報開示義務案が発表されて以降、「4日以内の情報開示では不十分な内容を発表することになりかねず、かえって市場の混乱を招く」との立場をとり、「報告よりも、インシデントの封じ込め/復旧作業/原因追及などが優先するべきだ」との立場を表明してきたが、規則制定には大きな影響を与えなかったと思われる。
更に、報告の重複(クリティカル・インフラ企業はCISAに対するインシデント報告義務があり、その他業界別の規制、警察/FBIへの届け出もある)を心配する声や、インシデントがまだ終了していない(=犯罪者が、引き続き対象企業へのアクセスを確保している)場合、発表の内容が犯罪者を利する懸念も表明されていたが、「投資家に対する透明性の確保」がそれらの意見に優先されたようだ。
■ 今後の課題
上場企業では、「4日以内の情報開示」が可能となるよう社内のモニタリング体制や社内報告手順の見直し/再構築がまったなしとなるだろう。また多くの大手企業や金融機関では、サイバーセキュリティ/不正防止/マネロン対策などの部門が個別に設けられているケースが多いが、これらの連携強化や場合によっては組織再編/レポートライン見直しが必要となるケースもあるだろう。
新規則では「サイバーセキュリティに関する重大なインシデント(Material Cybersecurity Incidents)」に対して開示義務が生じるとしているが、何が「Material(=重大な)」かの判断は各企業にゆだねられており、SECが更なるガイダンスが出すのではないかとの見方もある
また、米国以外でも投資家保護に焦点を当てたサイバー・インシデント情報開示ルールが作られる可能性もあり、グローバル企業においては、その動向をにらんだ対応が必要となるだろう。サイバーセキュリティに関しては、犯罪パターンや防衛策に加え、次第に厳しくなるレギュレーションの動向にも引き続き注目しておきたい。