米国証券取引委員会(SEC: U.S. Securities and Exchange Commission)はこのほど、「SEC.gov|SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies」において、上場企業に対してセキュリティインシデントの詳細を公表するよう義務付ける新たな規則を設けたことを伝えた。サイバーセキュリティに関する重大なインシデントの発生の開示やサイバーセキュリティのリスク管理、戦略、ガバナンスに関する重要な情報を年次で開示することを義務付ける規則が採択されている。

  • SEC.gov|SEC Adopts Rules on Cybersecurity Risk Management、Strategy、Governance、and Incident Disclosure by Public Companies

    SEC.gov|SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies

新たな規則では、重要と判断されたセキュリティインシデントを開示するとともに、インシデントの性質、範囲、時期、影響などを明らかにすることが義務付けられている。この開示は、セキュリティインシデントが重大と判断されてから4営業日以内に提出することが求められている。ただし、米国司法長官が即時の開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断した場合は、その開示を延期することができるという。

また、サイバーセキュリティの脅威から生じる重大なリスクの評価、特定、管理に使われる方法および戦略を年次報告書で説明することや、それらの事象によって引き起こされる重大な影響やリスクについても詳細を述べ、進行中または完了した是正措置に関する情報を共有することも義務付けられている。

米国証券取引委員会のGary Gensler委員長は、多くの上場企業はサイバーセキュリティに関する情報を投資家に開示しているが、より一貫性があり比較可能で意思決定に有用な方法で開示が行われれば。企業と投資家の双方が恩恵を受けられると述べている。セキュリティインシデントで多数のファイルが失われることが投資家にとって重要な事柄であると指摘されており、サイバーセキュリティの重要な情報を確実に開示することを支援する規則が投資家、企業、市場全体に利益をもたらすことが期待されている。