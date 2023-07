2023年07月27日 17時00分 セキュリティ

企業がハッキングを受けたら「4日以内」に開示しなければならない新規則が制定される



アメリカ証券取引委員会(SEC)が2023年7月26日に、企業が重大なインシデントと判断されるサイバー攻撃を受けた場合、4営業日以内にそのことを開示することを義務づける新しい規則の採択を発表しました。この新規則により、投資家の保護が一層強化されると期待されています。



SECは7月26日に「本日、重大なサイバーセキュリティインシデントに遭遇した場合はこれを開示すること、およびサイバーセキュリティのリスク管理、戦略、ガバナンスに関する重要な情報を毎年開示することを登録企業に義務付ける規則を採択しました」と発表しました。



アメリカの上場企業には、買収や役員の変更、重要な資産の取得または売却、破産などの特別な事象が発生した場合、そのことを「Form 8-K」と呼ばれる臨時報告書に記載して開示することが義務づけられています。





今回の規則改正では、重大であると判断したサイバーセキュリティインシデントを開示するための新しい項目がForm 8-Kに追加され、これによりインシデントの性質や範囲、時期、それによって発生する重要な影響について説明することが求められるようになります。



提出の期限は原則として4営業日以内ですが、司法長官により「即時の開示が国家安全保障または公共の安全に対する重大なリスクをもたらす」と判断された場合は、開示が延期される場合もあります。



SECのゲイリー・ゲンスラー委員長は発表の中で、「企業が火災で工場を失ったり、サイバーセキュリティインシデントで何百万ものファイルを失ったりするのは、投資家にとって重要なことだと思われます。今でも、多くの上場企業がサイバーセキュリティに関する情報を投資家に開示していますが、これがより統一的かつ比較可能で、意思決定に有用な方法で行われるようになれば、投資家にとっても企業にとっても利益となるでしょう」と述べました。





新規則ではほかにも、年次報告書である「Form 10-K」により、サイバーセキュリティ上の脅威による重大なリスクを評価、特定、管理するためのプロセスや、過去のサイバーセキュリティ事件によるリスクの影響、これらの判断を行う経営陣などについても報告することが盛り込まれました。



この新規則が制定された背景には、広く使われているファイル転送プログラム「MOVEit」に対してロシアのサイバー犯罪者が行った、いわゆるサプライチェーン・ハッキング事件があります。この事件では、多くの組織が大規模なデータ侵害を受けましたが、開示が遅々として進まなかったため、全容の把握に時間がかかっています。



信用格付け会社・Moody's Investors Serviceでシニア・ヴァイス・プレジデントを務めるレズリー・リッター氏は、「この規則は不透明かつ拡大の一途をたどっているリスクに透明性をもたらし、サイバー防御の改善に拍車をかける可能性があります」とコメントしました。



また、サイバーセキュリティ企業・Tenableのアミット・ヨランCEOも、「長い間、アメリカの大企業はサイバーセキュリティを『必須』ではなく『あればうれしい』ものとみなしてきました。しかし今日では、企業のリーダーがサイバーセキュリティを組織内で強化しなければならないことは極めて明白です」と述べて、新規則を歓迎しました。



一方、反対派の委員である共和党のヘスター・パース氏は声明の中で、「新規則はSECの権限を越えており、財務的に重要な情報を求める投資家のニーズよりも、ハッカー志望者のニーズに適合するように思えます」と述べて、セキュリティ体制の過度な開示により企業がかえってサイバー攻撃を受けやすくなってしまうのではないかとの懸念を示しました。