米SEC、重大サイバーインシデントの4日以内の開示を義務化へ | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 米SEC、重大サイバーインシデントの4日以内の開示を義務化へ

Threat Report

Silobreaker-CyberAlert

米SEC、重大サイバーインシデントの4日以内の開示を義務化へ

佐々山 Tacos

佐々山 Tacos

2023.07.27

米SEC、重大サイバーインシデントの4日以内の開示を義務化へ

米国証券取引委員会(SEC)は26日、株式公開企業に対し、重大なサイバーインシデントが生じた場合、これについて4営業日以内に開示することを義務付ける新規則を採択。ここでの「重大なサイバーインシデント」とは、株主が投資判断を行う上で重要とみなすであろうものを指すという。この新規則は今年の12月に発効予定。

Form 8-Kの新しい項目「1.05」が追加

株式公開企業には、重大だと判断されたサイバーインシデントについて、Form 8-Kの新しい項目「1.05」の中で報告することが義務付けられる。なおForm 8-Kとは「臨時報告書」とも呼ばれ、株価に影響を与え得る重大な事象が生じた際にSECへの提出が義務付けられている報告書式。この報告は、企業がインシデントを「重大」であると判断してから4営業日以内に行わなければならない。

また、Form 8-Kと併せて以下の情報の開示も義務付けられる。

・インシデントの発見日とステータス(現在も続いているのか、解決済みか)

・インシデントの性質と範囲に関する簡潔な説明

・不正に侵害、変更、アクセス、または利用された可能性のあるデータ

・インシデントが事業運営に及ぼす影響

・企業によって実施されている、または完了された緩和策に関する情報

規模の小さい企業にとっては大きな障害になる可能性

ムーディーズのシニア・バイスプレジデントであるLesley Ritter氏によれば、今回発表されたSECの新規則は増大しつつあるリスクに対する透明性を高めることが期待されるものの、規模の小さい企業は苦労を強いられることになるという。同氏は、情報開示がより多く行われることで企業のサイバー防御はますます改善されていくかもしれないが、この新たな情報開示基準を満たすことは、リソースが限られている中小企業にとっては難題となり得ると述べている。

 

(情報源:Help Net Security “SEC adopts new cybersecurity incident disclosure rules for companies”、Bleeping Computer “SEC now requires companies to disclose cyberattacks in 4 days”)

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ