{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
米国証券取引委員会(SEC)は2023年7月、新たなサイバーセキュリティ開示規則を発表しました。これは、1934年証券取引法に基づく報告義務を有する全てのSEC登録企業に適用されるものとなります。この規則は2023年12月18日に発効し、「重要」と判断されたサイバーインシデントに関する特定の情報について、適時に開示することを義務付けています。
2011年および2018年にSECが発行した解釈ガイダンスによれば、登録企業は既存のSEC規則に基づき、重要なサイバーセキュリティインシデントおよびそれに関連する影響を原則的に開示する義務を負います。2018年にSECが発行した「Commission Statement and Guidance on Public Company Cybersecurity Disclosures」において「企業は、サイバーセキュリティ関連を含む重要な事象を正確かつ適時に開示できるよう、適切かつ効果的な開示統制・手順を確立し、維持することが求められる。こうした確固たる開示統制・手順は、企業が連邦証券法に基づく開示義務を満たす一助となるだろう」と記されています。SECは最終規則においても「登録企業はすでに重要なサイバーセキュリティインシデントの開示をすでに行っている」と強調しています。
新たな規則は、重要なサイバーインシデントについて企業が開示する情報の標準化を目的としています。登録企業は、インシデントの性質、範囲、時期の重要な側面、重要な影響または合理的に起こり得ると思われる重要な影響(財務状況および経営成績への影響を含む)を、Form 8-K の新項目Item 1.05において開示しなければなりません(FPIについてはForm 6-K)。同規則の採択に関するリリースでは、企業がインシデントの重要性および影響を評価する際、「財務状況や経営成績への影響だけでなく、定性的要素についても検討すべき」としています。
「重要なサイバーインシデントである」という判断を下した後、Form 8-Kで報告する企業は4営業日以内に開示を行わなければなりません。規則では重要性の判断を下す期限を定めてはいないものの、かかる判断はインシデント発見後「“不当に遅れることなく(without unreasonable delay)”なされなければならない」とされています。
重要なサイバーインシデント開示要件は、2023年12月18日付(報告義務を有する中小企業については2024年6月15日付)で発効します。
重要性評価は、「合理的投資家にとって重要な情報であるか」という点を重視し、連邦証券法で定められた枠組みを用いて行う必要があります。この枠組みは、現在企業が用いているものと同じです。また、評価は各企業や各サイバーインシデントに固有のものとなります。
SECのサイバーインシデント開示規則は、以下を含む定量的・定性的要素例をまとめています。
こうした要素を評価する上で、例えば以下のような問いについて考えることが役立つでしょう:
上記のリストが検討事項の全てというわけではありません。経営陣は、自社の状況を検討し、あらゆる関連要素を特定し、それらの要素を総合的に考慮して定量評価する方法を検討する必要があります。最高裁は、重要性に関する意見として「情報が誤っている場合や省略されている場合、かかる情報の重要性について疑念が生じるのはよくあることである」としていますが、そうした疑念は、「法が保護対象としている者(この場合は投資家)に有利となるよう解決されるべき」としています。
SECは長年にわたり、SAB 99のガイダンスをはじめ、財務諸表における虚偽表示の重要性を評価する作成者をサポートするガイダンスを提供してきました。財務諸表の数字や開示にサイバーインシデントの影響が出てこない場合もあります。例えば、サイバーインシデントが各種IPの窃盗であった場合、それらは市場において当該企業の全体的価値を構成する重要な要素と考えられているものの、貸借対照表上の数字には反映されません。こうした理由から、サイバーインシデントの重要性評価は、SAB 99またはその他SECスタッフのガイダンスやステートメントにおける議論以上に、定性的要素をより深く考慮する必要があるかもしれません。
この質問に対する答えは「いいえ」です。規則の採択に関するリリースでは、「重要なサイバーセキュリティインシデントは必ず実害をもたらすとは限らない」としています。
例えば、ある企業がIP窃盗被害を受けたとします。それによってただちに損害が発生することはないかもしれませんが、その後第三者に販売されるなど、時間の経過とともに損害が発生する可能性が高いと推察される場合、実害がまだ発生していなかったとしても、当該インシデントは「重要である」と判断できます。
侵害による評判の毀損も同様に、予見可能なかたちで、時間の経過とともに被害の度合いが増す可能性があります。また、稀なケースではありますが、サイバーセキュリティインシデントによる危機が、まだ実害を与えていないのにも関わらず企業に重大な影響を及ぼす場合もあります。そうした状況に陥った場合、インシデントがもたらす重大な影響を投資家に知らせるべきでしょう。
先に述べたように、「ある事実が、入手可能な情報全体(total mix of information)を著しく変えた蓋然性が高いと合理的投資家が判断した場合、その事実は重要である」という最高裁の定義を、念頭に置いておくことが重要です。
この質問に対する答え「はい」です。ただし、インシデントに関連して発生した事象に限ります。サイバーセキュリティインシデントの定義には、関連する一連の事象が含まれます。したがって、インシデントの重要性判断を行う際、関連事象もあわせて検討する必要があります。そして、「重要」と判断された場合には、関連事象もあわせて開示しなければなりません。こうした関連事象としては、同一の悪意アクターが関与した事象の場合や、複数のアクターが同一の脆弱性を攻撃した事象などが挙げられます。関連性のない事象はあわせて検討する必要はなく、個別に重要性を評価します。
重要性の判断を誰か1人に委ねてはなりません。以下の3つのステップを踏むことで、後で不快なサプライズに見舞われるのを回避できるでしょう。
重要性判断の組織的プロセスを確立すべき中核グループとして、例えば、CISO、CIO、CTOが指揮するチーム、CFOおよび財務チーム、顧問弁護士(GC)および法務チームが挙げられます。新たな規則によって、これら3つの機能チームがいかに効率的なコミュニケーションを行い、協調しているか試されることになります。
重要なサイバーインシデントの判断と開示について、各機能チームの責任分担を整理します。また、基本的知識を共有することで、部門間の垣根を取り除いていきます。CISO、CIOおよびCTOが必要とするのは重要性に関する情報ですが、CFOおよび財務チーム、GCが必要とするのはインシデント対応およびサイバー戦略に関する情報になります。
以下の問いについて検討することにより、企業が確立または強化すべきプロセスを予測することができます。
CISO(またはCIO、CTO)は、重要性判断の最終責任者が必要とする情報を収集する必要があります。このプロセスでは、以下の問いについて明確化しておくことが有用でしょう:サイバーインシデントの既知/未知の事実や環境に基づく、伝達すべき重要な情報は何ですか。CISOおよびチームは、迅速に、また重要性の判断に極めて役立つ形式で情報を提供できますか。必要不可欠な情報の収集に外部専門家が必要となった場合に備えて、フォレンジックファームなどの第三者と適切な関係性を構築していますか。
企業としてのプロセス、関与した人物、最終結論(およびその根拠)を文書化することが極めて重要です:各チームは、インシデントに関する(既知および未知の)事実や、重要性評価において検討した要素を即時に文書化することができますか。SECからの要請がある場合に備えて、企業として文書を準備しておくことが望まれます。
※本コンテンツは、Making materiality judgments in cybersecurity incident reportingを翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。