米国証券取引委員会、セキュリティ被害報告を義務化~日本企業が把握しておくべきポイントは?
米国証券取引委員会は、セキュリティインシデントの情報開示に関する規則を採択しました。新しい規制について解説します。
2023年7月26日、米国証券取引委員会(SEC:Securities and Exchange Commission)は、セキュリティインシデントの情報開示に関する規則を採択しました※。これにより、SEC登録者は「サイバーセキュリティのインシデントが重要であると判断してから、4日営業日内」に報告することが義務化されました。対象となる日本企業は限定的ですが、今後国内の規制や基準にも影響を与える可能性があること、また規制対象となる企業との取引においては、留意しておくことが望ましいことから、新規制のポイントを解説します。
※SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies(2023/7/26)
規制の適用対象
新規則は、SECに登録する企業に適用されます。米国内の資産への攻撃に限定されているわけではないので、他国のSEC登録企業の資産に関するインシデントも対象となります。
この新しい規則により、「二重報告」が必要となる企業、状況が発生することに留意してください。例えば、公開取引のある基幹インフラの企業の場合です※。世界的にサイバーセキュリティの規制整備や強化が進む現在、複数の規制に対応していくことが求められています。
※Cyber Incident Reporting for Critical Infrastructure Act of 2022(重要インフラストラクチャに対するサイバーインシデント報告法、CIRCIA)(2023/3,CISA) 重要インフラに指定された企業に対して、サイバーインシデント発生時は72時間以内、ランサムウェアの攻撃を受け、身代金を支払った場合は24時間以内に、CISAへの報告義務づけたもの。
何をもって重要であるか判断することは簡単ではありません。投資家にとって重要である可能性が高いセキュリティインシデントはどう判断すべきでしょうか。
現実には、株価に影響を与えなかった深刻なインシデントや、その逆も存在します。2023年6月に発生したファイル転送サービスMOVEitの脆弱性悪用のケースでは、攻撃は受けたけたものの、データの損失はなかった複数の企業が確認されました。これらの企業は報告すべきでしょうか。こうした点も考慮し、さらなるガイダンスが示されることが期待されます。
参考:米政府機関で影響がでている「MOVEit File Transfer」の脆弱性~その概要と考えておくべきポイントを整理(2023/6/19)
SECの新しい規制に対応するには、社内のITインフラを継続的に監視する体制、報告義務に値する「重要性」を調査、分析する体制、そして、報告要否を決定するプロセスが必要です。関係部門に4日の要件を認識させ、決定、報告までのプロセスに組み込むことを検討ください。
その他のセキュリティ関連規制
本記事ではインシデント報告に焦点を当てていますが、今回追加された規則は他にもあります。特に注目すべき2つは以下のとおりです。
・財務諸表以外の開示関するSECの規則である「レギュレーションS-K」に新たに項目が追加されました(「レギュレーション S-K アイテム106」)。登録者に対して、サイバーセキュリティの脅威による重要なリスクを評価、特定、および管理するためのプロセス、そしてサイバーセキュリティの脅威や過去のサイバーセキュリティインシデントから考えられるリスクの重要な影響について、説明することを要求しています。
・また、サイバーセキュリティの脅威からのリスクに対する取締役会の監督、およびサイバーセキュリティの脅威からの重要なリスクを評価および管理に対する経営陣の役割と専門知識について、説明することが示されています。これらは、年次報告書(「10-K」)において、報告することが求められています。
他国の動向
セキュリティインシデントの報告および公表という点でみれば、今回の規制は新しいものではありません。GDPRの違反報告は72時間、米保健福祉省のHIPAAは60日以内、そして影響を受ける個人には90日以内に通知を要求しています。英国金融行為規制機構(FCA)も違反報告要件を持っています※。カナダはBill C-26の草案法制で、金融や電気通信、エネルギーなどの業界に対し、基幹産業の保護の観点から、セキュリティインシデントの報告の義務化を検討しています※。
SECの新たな規則は、他の地域と比較して厳しく異なるものとしてではなく、既存の報告要件の明確化と強化を図るものとして捉えることができます。SECは、一貫性があり、比較可能で意思決定に役立つかたちでの情報開示を定めたこの新規則は、企業、投資家、市場すべて利益をもたらすとしています。
※HIPAA(Health Insurance Portability and Accountability Act:医療保険の相互運用性と説明責任に関する法律)は、PHI(Protected Health Information:保護対象保険情報)のプライバシーとセキュリティを保護することを目的としたアメリカの連邦法
GDPR(General Data Protection Regulation:一般データ保護規則)EU域内の個人データ保護を規定する法令
※Government introduces new legislation to protect Canada’s cyber security(2022/6/14)
参考:セキュリティ関連のコンプライアンス基準・ガイドラインを解説~ISO、HIPPA、NIST CSF~
新規制に見るセキュリティ強化のポイント
重要なセキュリティインシデントに関するSECへの報告義務は、一般的な報告要件の下ですでに要求されていましたが、今回、4営業日という報告のタイムラインやその定義が具体的に示され、より実効性を高めた規制へと強化されました。
セキュリティの点からこの規則を見ると、可視性と継続的な監視の重要性が改めて浮き彫りになります。サイバー攻撃を検出するまでの時間も重要です。規制に対応していくためには、組織、技術面で適切なセキュリティ体制の確立が重要です。技術面では、セキュリティツールのサイロ化を解消することが不可欠です。製品間のサイロを越えてXDRのような統一された可視性を持つセキュリティプラットフォームが求められます。組織内の様々なテレメトリをプラットフォームに集約し、継続的に監視することで、サイバー攻撃の早期検出、対処が可能になります。また多くのSEC登録企業のサプライチェーンはグローバルに広がっているため、他の地域の脅威動向にも対応の必要になるでしょう。新規則では4営業日の報告義務に関心が集まりがちですが、取締役会や経営陣の責任が明示された点も重要なポイントです。セキュリティをリスク管理の点で捉え、経営陣や関係部門を含めた体制やプロセスの整備が必要です。
今回のSECの規制は、セキュリティリスクが今まで以上にビジネスリスクとなっている現実を示していると言えます。規制の対象企業に限らず、国際的なセキュリティ規制の動向の一つとして、日本企業も要点をおさえておくことが重要です。インシデント報告のタイムラインやセキュリティ体制は、サイバー攻撃の被害最小化や取引先などステークホルダーからの社会的信用を維持するための対応として、広く参考にできる内容といえます。
本記事は、2023年8月3日にUSで公開された記事New SEC Cybersecurity Rules: What You Need to Knowの抄訳です。
Security GO新着記事
暗号資産マイニングマルウェアとは?~事業停止にもつながるサイバー脅威~
(2024年10月31日)
Telegram(テレグラム)とは?サイバー犯罪に悪用される理由
(2024年10月31日)
地政学リスク、CISOがやるべきことは?
(2024年10月30日)