Tuesday, December 19, 2023 11:30 AM

SEC、サイバー・インシデント開示規則について追加説明

 米国の証券取引委員会(Securities and Exchange Commission=SEC)は、12月18日に発効したサイバーセキュリティー・インシデント開示規則について追加説明を加えた。

 SECは、上場会社がサイバー攻撃被害や情報漏えいといった重大なサイバーセキュリティー・インシデントを検出した場合に4営業日以内に情報を開示するよう義務づける新規則を2023年7月に発表していた。

 セキュリティー・ウィーク誌によると、同規則の目的は、株主や投資家らが有価証券の売買や株主投票、そのほかの意思決定をくだすにあたって重要性の高い情報を、一貫性をもって比較可能のかたちで適時に提供できるようにすることにある、とSECは説明していた。

 ただ、同規則が7月に発表された際、企業界や行政関係者たちからは、そういった情報開示が逆にハッカーらを助けることになるという懸念が寄せられた。不正侵入に気づいた日や潜在的な被害額の情報を当該会社が開示することになり、たとえばランサムウェア攻撃の場合、ハッカーらが身代金要求額を決める際の材料をあたえることになると指摘された。

 SECの企業財務部門責任者エリック・ガーディング氏は、12月14日づけの公式声明のなかで、開示を義務づけられる情報が当初の規則とくらべて減ったことを追加説明した。それによると、最終規則では、被害会社がとった対応や脆弱性のあったシステムといった技術的情報を明らかにする必要はない。

 また、4営業日以内の情報開示という要件については、破産関連の報告要件と変わらないと位置づけたうえで、サイバーセキュリティー・インシデントが重大であると判断した時点から数えて4営業日以内と説明した。当初の通知では、インシデントについての完全な情報を含める必要はなく、4営業日の経過後に追加で開示できるという規則だった。

 さらに、サイバーセキュリティーの専門家が取締役会に含まれているかどうかの開示要件は削除された。同分野の専門家を取締役会に含めなければならないという義務づけであるかのように解釈される可能性があるためだ。

 そのほか、サイバーセキュリティー・インシデントが公衆や国家の安全保障に重大なリスクをもたらす場合には、SECへの開示の遅延を認められる可能性がある。

https://www.securityweek.com/sec-shares-important-clarifications-as-new-cyber-incident-disclosure-rules-come-into-effect/