企業がハッキングを受けたら「4日以内」に開示しなければならない新規則が制定される

アメリカ証券取引委員会(SEC)が2023年7月26日に、企業が重大なインシデントと判断されるサイバー攻撃を受けた場合、4営業日以内にそのことを開示することを義務づける新しい規則の採択を発表しました。この新規則により、投資家の保護が一層強化されると期待されています。

SEC.gov | SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies
https://www.sec.gov/news/press-release/2023-139

New SEC rule requires public companies to disclose cybersecurity breaches in 4 days | AP News
https://apnews.com/article/sec-cybersecurity-breach-disclosure-risk-hacking-bb6252463637793bfdc8ace5bfcbe7df

SECは7月26日に「本日、重大なサイバーセキュリティインシデントに遭遇した場合はこれを開示すること、およびサイバーセキュリティのリスク管理、戦略、ガバナンスに関する重要な情報を毎年開示することを登録企業に義務付ける規則を採択しました」と発表しました。

アメリカの上場企業には、買収や役員の変更、重要な資産の取得または売却、破産などの特別な事象が発生した場合、そのことを「Form 8-K」と呼ばれる臨時報告書に記載して開示することが義務づけられています。

今回の規則改正では、重大であると判断したサイバーセキュリティインシデントを開示するための新しい項目がForm 8-Kに追加され、これによりインシデントの性質や範囲、時期、それによって発生する重要な影響について説明することが求められるようになります。

提出の期限は原則として4営業日以内ですが、司法長官により「即時の開示が国家安全保障または公共の安全に対する重大なリスクをもたらす」と判断された場合は、開示が延期される場合もあります。

SECのゲイリー・ゲンスラー委員長は発表の中で、「企業が火災で工場を失ったり、サイバーセキュリティインシデントで何百万ものファイルを失ったりするのは、投資家にとって重要なことだと思われます。今でも、多くの上場企業がサイバーセキュリティに関する情報を投資家に開示していますが、これがより統一的かつ比較可能で、意思決定に有用な方法で行われるようになれば、投資家にとっても企業にとっても利益となるでしょう」と述べました。

新規則ではほかにも、年次報告書である「Form 10-K」により、サイバーセキュリティ上の脅威による重大なリスクを評価、特定、管理するためのプロセスや、過去のサイバーセキュリティ事件によるリスクの影響、これらの判断を行う経営陣などについても報告することが盛り込まれました。

この新規則が制定された背景には、広く使われているファイル転送プログラム「MOVEit」に対してロシアのサイバー犯罪者が行った、いわゆるサプライチェーン・ハッキング事件があります。この事件では、多くの組織が大規模なデータ侵害を受けましたが、開示が遅々として進まなかったため、全容の把握に時間がかかっています。

ランサムウェアグループ「Cl0p」が数百社の企業に機密情報を暴露すると恐喝の最後通告、BBCや航空会社なども脅迫され超大型事件に発展し期限切れが迫る - GIGAZINE

信用格付け会社・Moody's Investors Serviceでシニア・ヴァイス・プレジデントを務めるレズリー・リッター氏は、「この規則は不透明かつ拡大の一途をたどっているリスクに透明性をもたらし、サイバー防御の改善に拍車をかける可能性があります」とコメントしました。

また、サイバーセキュリティ企業・Tenableのアミット・ヨランCEOも、「長い間、アメリカの大企業はサイバーセキュリティを『必須』ではなく『あればうれしい』ものとみなしてきました。しかし今日では、企業のリーダーがサイバーセキュリティを組織内で強化しなければならないことは極めて明白です」と述べて、新規則を歓迎しました。

一方、反対派の委員である共和党のヘスター・パース氏は声明の中で、「新規則はSECの権限を越えており、財務的に重要な情報を求める投資家のニーズよりも、ハッカー志望者のニーズに適合するように思えます」と述べて、セキュリティ体制の過度な開示により企業がかえってサイバー攻撃を受けやすくなってしまうのではないかとの懸念を示しました。