2024 年 6 月 24 日、SEC の企業財務部門は、フォーム 8-K の項目 1.05 に基づくサイバーセキュリティ インシデント報告を明確にし、特にランサムウェアの支払いに関する状況に対処する 5 つの新しいコンプライアンスおよび開示解釈 (C&DI) を発行しました。これらの更新は、サイバーセキュリティ開示に関する企業財務ディレクターの Erik Gerding による最近のガイダンスに従っています。2023 年 7 月 26 日に採用されたフォーム 8-K の項目 1.05 では、上場企業は、インシデントの重要性を判断してから 4 日以内に、性質、範囲、タイミング、および会社の財務状況と運営への影響を詳細に説明して、重要なサイバーセキュリティ インシデントを開示する必要があります。企業は、インシデントの重要性を速やかに評価し、新しい重要な情報が発生した場合は開示を修正する必要があります。 

新しい C&DI では、支払いによってインシデントが解決する場合でも、企業はこの判断を下す前にランサムウェア攻撃の重要性を評価する必要があることを強調しています。支払いによってインシデントが停止しても、企業はこの義務を免除されるわけではありません。ランサムウェア攻撃が重要であると判断された場合、支払いによって提出期限前にインシデントが終了しているかどうかに関係なく、企業は Form 8-K の項目 1.05 に基づいてそれを報告する必要があります。さらに、ランサムウェアの支払いをカバーするサイバー保険が存在するからといって、インシデントが自動的に重要でないと判断されるわけではありません。ランサムウェアの支払いの規模だけでは重要性は決定されません。企業は、業務、財務、評判への幅広い影響など、関連するすべての定量的および定性的な要因を考慮する必要があります。さらに、企業が複数の関連するサイバーセキュリティ インシデントを経験し、それらが個別には重要でない場合は、これらのインシデントが集合的に重要なイベントに相当するかどうかを評価する必要があります。 

ガーディング局長のガイダンスでは、項目 1.05 で開示すべきなのは重要なサイバーセキュリティ インシデントのみであると強調されています。重要でないインシデントの自主開示については、投資家の混乱を避けるために、企業は項目 8.01 などの別のフォーム 8-K 項目を使用する必要があります。企業は、重要性評価において、財務損失などの定量的影響と、評判の低下や顧客の信頼などの定性的な影響の両方を考慮する必要があります。この包括的なアプローチにより、投資家は明確で正確な情報を受け取ることができ、SEC が重視する堅牢なサイバーセキュリティ リスク管理と ESG 関連開示の透明性と一致します。 

情報源 

https://www.mofo.com/resources/insights/240625-u-s-sec-issues-updated-guidance-on-cybersecurity-disclosure 

https://www.securitiesdocket.com/2024/06/26/u-s-sec-issues-updated-guidance-on-cybersecurity-disclosure-under-item-1-05-of-form-8-k-morrison-foerster/