米証券取引委員会（SEC）はこのほど、上場企業がサイバーセキュリティ開示規則を遵守するための新たなガイダンスを公表した。2023年7月に最終決定されたこの規則は、米国の取引所上場企業に対し、重要なサイバーセキュリティインシデントを4日以内に報告することを義務付けている。また、サイバーセキュリティに関するリスク管理戦略やガバナンス体制の年次開示も求めている。 

2024年6月24日に発表されたSECの新しいガイダンスは、企業が重要なサイバーセキュリティ事象をどのように評価し、開示すべきかを明確にする5つのコンプライアンスと開示に関する解釈（C&DI）を示している。このガイダンスは、直接的な財務的影響にかかわらず、すべてのサイバーセキュリティ・インシデントについて徹底した重要性評価を実施することの重要性を強調している。 

SECのガイダンスから得られる重要な点の一つは、インシデントが迅速に解決された場合や身代金の支払いが保険でカバーされた場合であっても、企業はサイバーセキュリティ・インシデントの重要性を判断しなければならないということである。また、ガイダンスでは、小規模なインシデントであっても、それらが関連していたり、同じ脆弱性を悪用していたりする場合には、それらをまとめて考慮することで、重要性があるとみなされる可能性があるとしている。 

重要性の評価は、サイバーセキュリティ事象を投資家に開示する必要があるかどうかを判断する上で極めて重要である。SECは、このような評価は、外部の証券弁護士や企業の取締役会の意見を取り入れながら、サイバーインシデントが発生するたびに実施すべきであると強調している。これにより、企業はSEC規則に基づく開示責任を確実に果たすことができる。 

企業にとって、このガイダンスは、全体的なESGおよび持続可能性戦略の一環として、強固な重要性評価プロセスの必要性を強調している。また、潜在的な財務的・風評的影響を緩和するために、サイバーセキュリティのリスク管理を積極的に行うことの重要性を強調している。 

SECがサイバーセキュリティの情報開示にますます重点を置くようになる中、上場企業は、報告実務におけるコンプライアンスと透明性を確保するために、重要性の評価を優先しなければならない。 

情報源 

https://global.lockton.com/us/en/news-insights/new-sec-cybersecurity-compliance-and-disclosure-interpretations-put-focus-on 

https://kpmg.com/us/en/media/news/sec-cybersecurity-disclosure-rules-2024.html