証券取引委員会、事業者に対してサイバーセキュリティのリスク管理などに関する情報開示を要求

2023年08月04日、証券取引委員会は、報告要件の対象となる公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、およびインシデント（事件）に関する開示を強化および標準化するための新しい規則を最終規則としました。この規則は2023年09月05日より発効します。

背景・概要

証券取引委員会(Securities and Exchange Commission)は、2011年にサイバーセキュリティに関する事業会社の開示義務に関する見解を記載した最初の解釈ガイダンス、2018年にサイバーセキュリティのポリシーと手順の重要性、およびサイバーセキュリティの文脈でのインサイダー取引禁止の適用に対処するため、強化・拡張した解釈ガイダンスを発行しました。しかし、現在これらの解釈ガイダンスで示されたサイバーセキュリティに係わる関係者への規制、特に情報の開示規制は、投資家およびその他の資本市場参加者によって、さらに求められています。

その第一の理由が、経済活動が電子システムにますます依存することで、大規模なインシデントが発生した場合に経済全体に大きな影響を及ぼすということです。それ以外にも、「COVID-19の大流行によるリモートワークの増加」、「情報技術サービスに対するサードパーティ・サービス・プロバイダーへの依存の増加」、「ランサムウェア、盗まれたデータの闇市場、暗号資産技術によって促進されたサイバー攻撃の急速な収益化」などが理由としてあげられます。これら理由によりインシデントの発生時には、関係事業者の事業の中断、収益の損失、代替の経費、修復費用、影響を受けた当事者に対する責任、サイバーセキュリティ保護費用、資産の損失、訴訟リスク、風評被害などが起こる可能性があります。

証券取引委員会では、2022年03月09日、証券取引法の報告義務の対象となる公開企業のサイバーセキュリティのリスク管理、戦略、ガバナンス、サイバーセキュリティのインシデントに関する情報開示を強化・標準化するための新規解釈ガイダンスを提案しました。2022年の提案後も、サイバーセキュリティへの依存度などが急速に進む傾向で、一方企業や業界全体で重大なサイバーセキュリティに関する事件がいくつか発生しています。

さらに、法的にも2022年に2つの重要な進展がありました。１つは、2022年03月15日、「2022年重要インフラに関するサイバーインシデント報告法(Cyber Incident Reporting for Critical Infrastructure Act of 2022、CIRCIA）)が大統領により署名されたことです。CIRCIAでは、重要インフラ部門の企業に報告義務を課し、しかし報告はサイバーセキュリティ、捜査、法執行の目的で連邦政府機関全体に共有されることはあっても機密情報として扱われることが、特徴となっています。２つ目は、2022年12月21日、「量子コンピューティング・サイバーセキュリティ対策法」がやはり大統領により署名されたことです。この法令では、連邦政府に対し、コンピュータの処理能力を向上させる可能性のある量子コンピューティングによる解読から、重要な情報を保護する技術を開発するように指示しています。

このような背景から、今回、提案後150の意見を受け取った証券取引委員会は、３つの重要な内容を改正した解釈ガイダンスを最終規則としました。

注目すべき内容

2023年解釈ガイダンスでは、以前のガイダンスから、以下のことが変更になっています。

• 重要なサイバーセキュリティのインシデントに関する最新の開示を要求する修正を採用しています。例えば、インシデントの性質、範囲、およびタイミング、そしてその影響または起こりそうな影響について報告説明する必要があり、項目05フォーム8–Kで示された書類をインシデントが重大であると判断してから4営業日以内に提出する必要があります。
• 重要なサイバーセキュリティのリスクを評価、特定、管理するための登録者の役割やその行動、重要なサイバーセキュリティリスクの評価と管理における経営陣およびサイバーセキュリティのリスクに対する取締役会の監督の役割について、定期的な開示を要求する規則を採用しています。
• 最終規則では、サイバーセキュリティの開示をインライン拡張可能なビジネス報告言語(インラインXBRL)で提示するよう求めています。
• 以上のことは、提出書類の細かな内容は異なりますが、外国の民間事業者に関しても、同様に求められます。

この最終規則によって、投資家、サイバーセキュリティ登録企業、企業の提出書類で提供される情報を利用するその他の市場参加者（財務アナリスト、投資顧問、ポートフォリオ・マネージャーなど）、および消費者や影響を受ける企業と同業他社のような外部の利害関係者が影響を受ける可能性があります。

参考情報

サイバーセキュリティリスク管理、戦略、ガバナンス、インシデント開示

証券取引委員会とは

米国証券取引委員会（U.S. Securities and Exchange Commission、SEC）は、米国における株式や公社債などの証券取引を監督・監視する連邦政府の機関です。日本語では「証券取引委員会」と訳されているが、直訳は「証券及び取引所委員会」です。SECは日本の証券取引等監視委員会と公認会計士・監査審査会を併せ持つ組織です。捜査、民事制裁金の請求などの権限があり、5人で構成されるアメリカ証券取引委員会は米国の大統領により任命されますが、連邦政府から一定の独立性が保たれています。1933年証券法 (Securities Act of 1933) と1934年証券取引所法 (Securities Exchange Act of 1934)を担当しています。