米国証券取引委員会(SEC)はこのほど、企業におけるサイバーセキュリティ・インシデントの報告・管理方法に大きな変化をもたらす一連の規則を最終決定した。これらの規則は、公開企業に直接適用されるものではあるが、ビジネス全体に波及する意味合いを持ち、さまざまな立場の公開企業と非公開企業の両方に影響を及ぼすものである。
SEC新規則の主要な側面
1.サイバーセキュリティ・インシデントの開示義務化
上場企業は現在、投資家にとって重要であると考えられるサイバーセキュリティ・インシデントを速やかに開示することが求められている。これには、そのようなインシデントの性質、範囲、時期、潜在的または実際の影響を詳述することが含まれる。この開示は、Form 8-KのItem 1.05で規定されているように、インシデントの重要性を判断してから4営業日以内に提出することが義務付けられている。
2.サイバーセキュリティ管理に関する年次報告
企業はまた、年次報告書においてサイバーセキュリティ管理戦略について詳しく説明しなければならない。これには、サイバー脅威の特定、評価、管理のプロセスや、これらの取り組みを監督する取締役会の役割と専門知識が含まれる。
3.既存の慣習の普及率
多くの上場企業は、サイバーセキュリティ・インシデントを特定し、伝達するためのシステムをすでに導入しているが、新規則は、これらのプロセスをより強固で標準化されたものにするよう求めている。
コンプライアンスの準備取るべきステップ
1.サイバーセキュリティポリシーの見直しと調整
企業は自社のサイバーセキュリティ・プロトコル、特にインシデントの分類と処理方法を再評価することが不可欠である。重要なのは、「重大な」インシデントを構成するものについてのSECの定義が、社内の分類と異なる可能性があることです。したがって、企業はSECのガイドラインに沿って、重要性を判断するための独自の基準を確立する必要がある。
2.インシデントの評価と分類
企業は、自社の重要性基準を適用して、現在進行中および過去のインシデントを評価すべきである。これには、インシデントの性質、範囲、時期、影響、特に財務状況や経営成績への影響を徹底的に分析することが含まれる。インシデントが重要であると判断された場合、規定の4日以内に迅速に開示することが重要である。
3.サードパーティ・コンプライアンスの確保
この新規則は、サードパーティのサプライヤーにも間接的に適用され、特にそのサイバーセキュリティインシデントがサードパーティのサプライヤーにサービスを提供する企業に影響を与える可能性がある場合には、そのサプライヤーにも適用される。企業は、公私を問わず、サプライヤーがこれらのサイバーセキュリティ基準を遵守することを保証する必要がある。これには、第三者のインシデントとその潜在的な重大な影響を評価するプロセスの確立も含まれる。
課題と意義
1.多様な重要性基準
重要性を決定するための普遍的な基準がないことは、特に、顧客によって設定された複数の基準を遵守しなければならない可能性のある第三者サービス・プロバイダーにとって、課題となる可能性がある。
2.サードパーティへの圧力の増大
クラウド・ストレージ・ソリューションを提供するサービス・プロバイダーを含むサードパーティ・サービス・プロバイダーは、これらの基準に準拠するための監視と圧力の高まりに直面している。このため、最も厳しい対策をデフォルトとして採用することになりかねず、顧客によっては圧倒されるかもしれない。
3.コスト上昇と複雑化
デジタルトランスフォーメーション、リモートワーク、巧妙なサイバー犯罪などの要因により、サイバーセキュリティインシデントの頻度とコストはエスカレートしている。こうした課題は、近い将来に減少することはないだろう。
4.透明性と投資家の信頼の向上
新規則は、サイバーセキュリティの開示に一貫性と明確性を持たせることを目的としており、投資家にとって有益なものとなる可能性が高い。詳細かつ標準化された情報にアクセスすることで、投資家は企業のサイバーセキュリティ・リスクのエクスポージャーと管理能力に関して、より多くの情報に基づいた意思決定を行うことができる。
結論
SECの新たなサイバーセキュリティ開示規則は、サイバー脅威の増大に直面する中、透明性の向上と報告の標準化に向けた重要な一歩となる。これらの規則の実施には、特にサードパーティ・サービス・プロバイダーにとって多大な労力と調整が必要となるが、投資家の信頼とリスク管理の観点から長期的なメリットは大きい。上場企業も非上場企業も、相互接続とデジタル化が進むビジネス環境においてコンプライアンスを確保し、自社の利益を守るために、今から準備を始めなければならない。
