米国証券取引委員会、上場企業のサイバーセキュリティインシデント開示を義務化へ：日本はどうなる？

米国証券取引委員会は、上場企業に対してサイバーセキュリティのリスク管理、ガバナンス、戦略に関する重要な情報を年次で開示することを義務付ける規則を採択した。

[＠IT]

　米国証券取引委員会（SEC）は2023年7月26日（米国時間）、上場企業に対してサイバーセキュリティに関する重大なインシデントの発生と、サイバーセキュリティのリスク管理、ガバナンス、戦略に関する重要情報の開示を義務付ける規則を採択した。

　SECは、米国で上場し、主に米国外で事業を展開している企業にも同様の開示を義務付ける規則も採択している。

　SECのゲーリー・ゲンスラー委員長は次のように述べている。

　「企業が火事で工場を失うにせよ、サイバーセキュリティインシデントで何百万ものファイルを失うにせよ、それは投資家にとって大きな関心事だ。現在、多くの上場企業がサイバーセキュリティに関する情報開示を投資家に対して行っているが、より一貫性があって比較でき、意思決定に効果的な方法で行われれば、企業も投資家も恩恵を受ける。企業が重要なサイバーセキュリティ情報を確実に開示することを支援すれば、新しい規則は投資家や企業、そしてそれらをつなぐ市場に利益をもたらすだろう」

インシデントの性質や時期、影響範囲などの説明が必須に

　新しい規則により、上場企業は、重大であると判断したセキュリティインシデントを「Form 8-K Item 1.05」を通じて開示し、インシデントの性質や時期、範囲および登録企業に対する重要な影響または合理的に起こり得る影響の側面を説明することが義務付けられる。

　上場企業において重大なサイバーセキュリティインシデントが発生した場合、4営業日以内に開示する必要がある。ただし、米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面でSECに通知した場合は、開示が延期されることもある。

　新規則では「Regulation S-K Item 106」を追加している。サイバーセキュリティの脅威による重大なリスクを評価、特定、管理するためのプロセスと、サイバーセキュリティの脅威および過去のサイバーセキュリティ事件によるリスクの重大な影響の説明も必要となる。

　Item 106では、サイバーセキュリティの脅威による重大なリスクの評価と管理における経営陣の役割と専門知識の説明や、サイバーセキュリティの脅威によるリスクに対する取締役会の監督も求められる。これらは、企業の年次報告書であるForm 10-Kにおいて説明が要求される。

　SECは米国で上場しており、米国外で事業を展開している企業についても、重要なサイバーセキュリティインシデントはForm 6-Kで、サイバーセキュリティのリスク管理や戦略、ガバナンスなどの重要情報は「Form 20-F」で開示を行うことを求めている。

　Form 10-KおよびForm 20-Fの開示は、2023年12月15日以降に会計年度の最終日を迎える企業から適用される。Form8-KおよびForm6-Kの開示は、連邦官報への掲載日から90日後、もしくは2023年12月18日以降から適用される。中小企業については、Form 8-Kによる開示を開始するまでに180日の猶予が与えられる。最終規則は、連邦官報に採択のリリースが掲載されてから30日後に発効される。