サイバーセキュリティインシデント報告における重要性判断

重要性評価は、「合理的投資家にとって重要な情報であるか」という点を重視し、連邦証券法で定められた枠組みを用いて行う必要があります。この枠組みは、現在企業が用いているものと同じです。また、評価は各企業や各サイバーインシデントに固有のものとなります。

SECのサイバーインシデント開示規則は、以下を含む定量的・定性的要素例をまとめています。

• 企業の評判の毀損
• 事業中断の影響
• 企業の顧客やベンダーとの関係悪化
• 競争力の低下
• 訴訟、規制当局による調査や措置の可能性（州・連邦政府当局および海外当局による規制措置を含む）
• 事業価値への影響
• インシデントにより実際に発生した（または発生が見込まれる）、直接および間接コスト

こうした要素を評価する上で、例えば以下のような問いについて考えることが役立つでしょう：

• 攻撃の性質はどのようなものでしたか
  それは新しいタイプの攻撃でしたか、あるいは旧来の攻撃の亜種でしたか。攻撃は自社のみを狙ったものでしたか、あるいは特定の業界、地理的領域、その他の多くの企業に対する広範な攻撃の一部でしたか。攻撃は自社のシステム上で行われましたか、あるいは第三者を通じてなされたものですか。
• 脅威アクターの特徴は何ですか
  アクターは個人、結束力の緩い集団、洗練された犯罪組織、国民国家でしたか。
• どのシステムが侵害されましたか。そのシステムにはどのような情報が保管されていましたか
  企業の全体的な運営におけるシステムの役割は、重要な検討事項になります。
• 対応のタイムラインおよび性質はどのようなものでしたか
  インシデントの検出に要した時間や解消に至るまでに要した時間はどの程度でしたか。インシデントの解決にはどの程度の専門知識が必要でしたか。インシデントによって、経営幹部や取締役会メンバーがどの程度関与することになりましたか。
• 解消されていない潜在的影響は何ですか。事業の将来的な動向にどのような影響がありますか
  インシデントの解決、システムの強化、同様の攻撃を防ぐための継続的対応策に伴う直接／間接コストについて検討することに加えて、インシデントまたは将来的なインシデントの結果、業務や戦略の変更を余儀なくされた場合に生じるであろうその他のコストはありますか。収入、支出、収益性および／またはキャッシュフローの見込みに変更はありますか。
• 企業はどの業界に属していますか。投資家は、バリュエーションにおいてサイバーリスクをどの程度考慮していましたか
  一部の業界はサイバーインシデントのリスクが高いと考えられているため、投資家はバリュエーションおいてサイバーリスクを織り込み済みである場合があります。それ以外の業界については、サイバーリスクが時価評価に考慮されていない場合もあります。そうした業界でインシデントが発生した場合、投資家の捉え方も異なるでしょう。
• インシデントに関連して想定される法的影響としてどのようなものがありますか
  例えば、インシデントによって今後、訴訟、強制執行その他法的手続きのリスクや蓋然性が高まりますか。財務諸表で計上または開示すべき偶発損失（loss contingencies）はありますか。

上記のリストが検討事項の全てというわけではありません。経営陣は、自社の状況を検討し、あらゆる関連要素を特定し、それらの要素を総合的に考慮して定量評価する方法を検討する必要があります。最高裁は、重要性に関する意見として「情報が誤っている場合や省略されている場合、かかる情報の重要性について疑念が生じるのはよくあることである」としていますが、そうした疑念は、「法が保護対象としている者（この場合は投資家）に有利となるよう解決されるべき」としています。

SECは長年にわたり、SAB 99のガイダンスをはじめ、財務諸表における虚偽表示の重要性を評価する作成者をサポートするガイダンスを提供してきました。財務諸表の数字や開示にサイバーインシデントの影響が出てこない場合もあります。例えば、サイバーインシデントが各種IPの窃盗であった場合、それらは市場において当該企業の全体的価値を構成する重要な要素と考えられているものの、貸借対照表上の数字には反映されません。こうした理由から、サイバーインシデントの重要性評価は、SAB 99またはその他SECスタッフのガイダンスやステートメントにおける議論以上に、定性的要素をより深く考慮する必要があるかもしれません。

この質問に対する答えは「いいえ」です。規則の採択に関するリリースでは、「重要なサイバーセキュリティインシデントは必ず実害をもたらすとは限らない」としています。

例えば、ある企業がIP窃盗被害を受けたとします。それによってただちに損害が発生することはないかもしれませんが、その後第三者に販売されるなど、時間の経過とともに損害が発生する可能性が高いと推察される場合、実害がまだ発生していなかったとしても、当該インシデントは「重要である」と判断できます。

侵害による評判の毀損も同様に、予見可能なかたちで、時間の経過とともに被害の度合いが増す可能性があります。また、稀なケースではありますが、サイバーセキュリティインシデントによる危機が、まだ実害を与えていないのにも関わらず企業に重大な影響を及ぼす場合もあります。そうした状況に陥った場合、インシデントがもたらす重大な影響を投資家に知らせるべきでしょう。

先に述べたように、「ある事実が、入手可能な情報全体（total mix of information）を著しく変えた蓋然性が高いと合理的投資家が判断した場合、その事実は重要である」という最高裁の定義を、念頭に置いておくことが重要です。

この質問に対する答え「はい」です。ただし、インシデントに関連して発生した事象に限ります。サイバーセキュリティインシデントの定義には、関連する一連の事象が含まれます。したがって、インシデントの重要性判断を行う際、関連事象もあわせて検討する必要があります。そして、「重要」と判断された場合には、関連事象もあわせて開示しなければなりません。こうした関連事象としては、同一の悪意アクターが関与した事象の場合や、複数のアクターが同一の脆弱性を攻撃した事象などが挙げられます。関連性のない事象はあわせて検討する必要はなく、個別に重要性を評価します。