米証券取引委員会（SEC）が新たなサイバーセキュリティ開示規則を採択

2023年7月26日、米国証券取引委員会（以下「SEC」）は、上場企業によるサイバーセキュリティリスク管理、戦略、ガバナンス、およびインシデント報告に関する最終規則を採択した。本最終規則は、登録企業に対し以下のことを義務付ける：(1) 登録企業が重要と判断したサイバーセキュリティインシデントについて、新規項目1.05（Form 8-K）で報告すること、 (2) 年次報告書（Form 10-K）において、サイバーセキュリティ脅威による重要なリスクの評価・特定・管理プロセス、サイバーセキュリティ脅威および過去のインシデントによる重要な影響、ならびに取締役会および経営陣がサイバーセキュリティ関連のリスクを特定・管理する役割に関する具体的な情報を開示すること。SECはまた、外国の非米国発行体に対しても同等の開示を義務付ける規則を採択した。

米証券取引委員会（SEC）のゲイリー・ゲンスラー委員長は、新たな規則が企業と投資家の双方に利益をもたらすと期待していると表明した。多くの企業が既にサイバーセキュリティ関連情報を開示しているものの、投資家と企業の双方が「この開示がより一貫性があり、比較可能で、意思決定に有用な方法で行われることで恩恵を受ける」と説明した。

背景

最終規則の採択以前、規則S-Kも規則S-Xもサイバーセキュリティに関する開示を明示的に要求していなかった。しかし、サイバー関連のリスクがより顕在化するにつれ、SECはこの分野におけるガイダンスの不足に注目し始めた。2011年、SECの企業財務局は登録企業のサイバーセキュリティ開示義務に関する見解を示す解釈ガイダンスを発表し、2018年には追加の解釈ガイダンスが発行された。

2022年3月9日、SECは開示要件を正式化する規則案を発表した。最終規則は提案規則とほぼ同様であるが、サイバーセキュリティ開示に関して以下の重要な例外がある：(1) 意見提出者から「詳細開示がセキュリティ脅威を悪化させる恐れがある」との懸念が示されたことを受け、最終規則ではForm 8-Kで開示を義務付ける情報の範囲を限定した； (2) 最終規則では、規制S-Kの項目106(d)(2)案が削除された。同案では、個別には重要でないサイバーセキュリティインシデントが累積的に重要となった場合、登録企業が定期報告書で開示することを義務付けていた。(3) 最終規則では、規制S-Kの項目407(j)案が削除された。同案では、取締役のサイバーセキュリティ専門知識に関する開示を義務付ける内容であった。

フォーム8-Kによるサイバーセキュリティインシデント報告

• 最終規則は、フォーム8-Kを改正し、項目1.05を追加する。これにより、登録者は、重大なサイバーセキュリティインシデントを経験したと判断した時点（登録者がインシデントを発見した日ではない）から4営業日以内に、当該インシデントに関する情報を開示することが義務付けられる。
  • 項目1.05では、登録者に以下の開示を要求する：(a) サイバーセキュリティインシデントの性質、範囲、発生時期に関する重要な側面の説明、および(b) 登録者（その財務状況および経営成績を含む）に対する重要な影響または合理的に予想される重要な影響。 これは、提案規則で想定されていた開示よりも負担の少ない内容である。提案規則では、サイバーセキュリティインシデントがいつ発見されたか、継続中かどうか、登録者が既に是正済みか現在是正中かといった情報も要求されていた。  最終規則では、項目1.05に関する指示も追加されており、登録企業は、サイバーセキュリティインシデントへの対応計画、サイバーセキュリティシステム、関連ネットワーク・デバイス、潜在的なシステム脆弱性に関する具体的・技術的情報を、インシデントへの対応や是正を妨げるほど詳細に開示する必要はないとされている。
  • 最終規則では、登録者はサイバーセキュリティインシデントを発見後「不当な遅延なく」当該インシデントが重要かどうかを判断することが求められる。これは提案規則における「合理的に実行可能な限り速やかに」という基準よりも若干緩和された基準である。
  • 最終規則において、「サイバーセキュリティインシデント」とは、登録者の情報システム上または同システムを通じて行われる、許可されていない事象、または一連の関連する許可されていない事象を意味し、登録者の情報システムまたはそこに存在する情報の機密性、完全性、可用性を危険にさらすものである。  したがって、一連の個別に重要でないサイバーセキュリティインシデントが累積的に重要となった場合、定期報告書での開示要件は最終規則に含まれていないものの、登録者が関連する一連のサイバーセキュリティ事象（個々には重要でない場合も含む）により重大な影響を受けた場合には、Form 8-Kの提出が義務付けられる。
  • 最終規則には、項目1.05に関する指示が含まれており、登録者は、必要な提出時点において確定していない、または入手できない項目1.05で要求される情報を特定する声明をフォーム8-Kに記載することが義務付けられている。 このような状況において、登録者は、当該情報を不当な遅延なく確定した日から、または当該情報が利用可能となった日から、4営業日以内にフォーム8-Kの修正届出書を提出しなければならない。
  • 提案された規則とは異なり、最終規則では登録者が以下の2つの限定的な状況においてForm 8-Kの提出を遅延させることが認められる：
    • 米国司法長官が開示が国家安全保障または公共の安全に重大なリスクをもたらすと判断し、その判断を証券取引委員会（SEC）に書面で通知した場合、開示が本来必要とされる日から最大30日間（特定のケースでは延長あり）にわたり、米国司法長官が指定する期間、フォーム8-Kによる開示を遅延させることができる。 SECは最終規則の採択リリースにおいて、司法省が影響を受ける登録者に対しSECへの連絡が行われた旨を通知する手続きを確立したことを明記している。これにより登録者はForm 8-Kの提出を遅延させることが可能となる。
    • 登録者が、顧客固有ネットワーク情報（「CPNI」）の漏洩を米国シークレットサービス （「USSS」）および連邦捜査局（「FBI」）への通知を義務付ける規則の対象となる場合、Form 8-Kによる開示は、USSSおよびFBIへの通知後、証券取引委員会（SEC）への書面による通知を条件として、最大7営業日遅延させることが可能である。
  • 最終規則では、項目1.05に基づくForm 8-Kの期限後提出は、Form S-3またはForm SF-3の適格性を喪失させるものではないと規定されている。
  • フォーム8-Kの項目1.05では、インラインXBRLタグ付けが要求され、これには記述的開示の詳細なタグ付けが含まれる。

年次報告書におけるサイバーセキュリティリスク管理、戦略及びガバナンス開示

• 最終規則は、フォーム10-Kを改正し、新規項目1Cを追加するとともに、規則S-Kの項目106を追加する。これらは以下の事項に関する開示を要求する：
  • 登録者がサイバーセキュリティ脅威から生じる重要なリスクを評価、特定、管理するためのプロセス（存在する場合）を、合理的な投資家がそれらのプロセスを理解できる十分な詳細さで記載すること。これは、提案規則で開示が求められていた「方針および手順」よりも若干柔軟な基準である。 最終規則の採択リリースで指摘されているように、この変更は、提案規則が詳細を過剰に提供し、それによってセキュリティ上の脅威を生じさせるという懸念に対処するために実施された。最終規則では、以下の非排他的開示項目リストを規定している：
    • 登録者が、かかるプロセスを自らの総合的なリスク管理システムまたはプロセスに統合したかどうか、またその方法；
    • 登録者が、かかる手続きに関連して、評価者、コンサルタント、監査人その他の第三者を関与させるかどうか；および
    • 登録者が、第三者のサービスプロバイダーの利用に伴うサイバーセキュリティ上の脅威から生じるリスクを監督し特定するプロセスを有しているかどうか。
  • サイバーセキュリティ脅威（過去のサイバーセキュリティインシデントの結果を含む）によるリスクが、登録者（その事業戦略、経営成績、または財務状態を含む）に重大な影響を与えたか、または重大な影響を与える可能性が合理的に認められるか否か、また該当する場合、その影響の態様。
  • 取締役会によるサイバーセキュリティ脅威からのリスクの監督、および該当する場合、当該監督を担当する取締役会委員会または小委員会の名称ならびに取締役会または当該委員会が当該リスクについて報告を受けるプロセス。これは、提案された規則で要求されていた開示内容よりも限定的な開示である。提案規則では、登録企業の事業戦略におけるサイバーセキュリティの位置付けに関するより詳細な情報、ならびに取締役会におけるサイバーセキュリティに関する議論の頻度に関する追加情報の開示が求められていた。
  • 提案された規則（経営陣によるサイバーセキュリティに関する議論の頻度に関する情報の開示を要求する内容）で想定されていたものよりも詳細度が低い形で、経営陣が登録企業のサイバーセキュリティ脅威による重要なリスクを評価・管理する役割について。最終規則では、以下の非排他的開示項目リストを規定している：
    • 当該リスクの評価及び管理を担当する管理職位または委員会が存在するかどうか、存在する場合にはその内容、ならびに当該職務に就く者または委員の関連する専門知識について、その性質を完全に説明するために必要な詳細さをもって記載すること。
    • そのような個人または委員会が、サイバーセキュリティインシデントの予防、検知、軽減、および修復について情報を得て監視するプロセス；および
    • 当該リスクに関する情報を、取締役会または取締役会の委員会もしくは小委員会に報告するかどうか。
  • 規則S-Kの項目106は、インラインXBRLタグ付けを要求しており、これには説明的開示の詳細なタグ付けが含まれる。

外国の私募発行者

• 最終規則は、一般指示Bに基づき「サイバーセキュリティインシデント」を報告事項として追加するため、フォーム6-Kを改正する。これにより、外国私募発行体は、設立された管轄区域の法令、証券取引所、または自社の証券保有者に対して当該インシデントを開示する、または開示を義務付けられる場合、フォーム6-Kにおいてサイバーセキュリティインシデントを開示することが求められる。
• 最終規則は、外国私募発行者が年次報告書において新たな項目16Kに基づきサイバーセキュリティ開示を行うことを要求する形でフォーム20-Fを改正する。この開示内容は、国内登録発行者に対して規則S-Kの項目106で要求される開示と同種のものとなる。

最終規則の効力発生時期

• フォーム8-K項目1.05およびフォーム6-Kにおけるサイバーセキュリティインシデント開示要件の遵守に関しては、小規模報告会社以外のすべての登録企業は、新規則が連邦官報に掲載された日から90日後、または2023年12月18日のいずれか遅い方の日から遵守を開始しなければならない。
  • 小規模な報告会社は追加で180日の猶予期間が与えられ、規則の発効日から270日後または2024年6月15日のいずれか遅い方の日から、フォーム8-K項目1.05の遵守を開始しなければならない。
• 規則S-K項目106およびフォーム10-Kにおける対応する要件ならびにフォーム20-Fの同等の要件に関し、すべての登録企業は、2023年12月15日以降に終了する会計年度の年次報告書から当該開示を行う必要があります。 暦年企業の場合、これは2024年に提出される2023年度Form 10-KまたはForm 20-Fにおいて開示が要求されることを意味する。
• すべての登録者は、関連する開示要件への初回遵守から1年後に開始し、最終規則で要求される開示事項をインラインXBRLでタグ付けしなければならない。

推奨されるアクション

あらゆる業界の企業におけるテクノロジーの普及が拡大し続けること、サイバーセキュリティインシデントの増加、および登録企業に対するサイバーセキュリティインシデントに関する追加的な開示義務を踏まえ、サイバーセキュリティは今後も企業、規制当局、投資家の注目の的であり続けると予想されます。この焦点を踏まえ、登録企業およびその取締役・役員は下記の推奨措置を検討されることをお勧めします：

• 登録企業は、サイバーインシデント報告開示管理と手順を評価し、情報が適時に経営陣へ報告され、かつ項目1.05のフォーム8-K提出に要する4営業日という要件を踏まえた適切な重要性の判断がなされることを確保すべきである。
• 登録者は、サイバーセキュリティインシデント対応計画を検証・テストし、インシデントが組織全体で適切に報告されることを確保すべきである。これらの計画は、タイムリーかつ適切な対応を確保するため、模擬机上演習を通じて定期的に検証・テストされる必要がある。新たな開示要件を踏まえ、テストには経営陣を含めることが重要であり、これにより組織がサイバーセキュリティインシデントに関連する増大した開示義務を履行できる能力を確保する。 さらに、登録企業は、サイバーセキュリティインシデントが重要であるかどうかの判断を担当する担当者／チームを明確にするとともに、その具体的な意思決定プロセスと文書化プロセスを定義すべきである。
• 取締役会は、サイバーセキュリティに関する専門知識や経験を有する取締役が誰であるか、またサイバーセキュリティ問題に関する監督責任を負う（あるいは負うべき）委員会や小委員会が存在する場合はその構成を認識し、それに応じてガバナンス文書を修正すべきである。さらに、SECの最終規則では個々の取締役のサイバーセキュリティに関する専門知識の開示を義務付けていないものの、多くの企業が取締役スキルマトリックスに関連してこの開示を継続または追加すると予想される。
• 登録企業は、現行の社内方針・手順で明確でない場合、サイバーセキュリティ脅威によるリスク監視の責任者を特定するとともに、これらのプロセスの開示方法、サイバーセキュリティリスクの特定方法、サイバーセキュリティインシデントの発見・軽減・是正方法を理解するよう努めるべきである。企業に対する進化するリスクを監視するため、登録企業は包括的でリスクベースのサイバーセキュリティ管理プログラムを構築する圧力が高まるだろう。 こうしたプログラムには、情報・システムのデータマップ作成、適用可能なサイバーセキュリティフレームワークの決定、リスク評価とペネトレーションテストの実施、合理的なセキュリティ対策の導入、契約上の保護措置（第三者サービスプロバイダーのリスクを監視・特定するプロセスが整備されていることを確保するためのものを含む）、サイバー保険オプションの評価、従業員研修の実施、模擬テーブルトップ演習の実施などが、登録企業の業種や特定のサイバーセキュリティリスクに応じて適切に含まれるべきである。
• 登録者は、自社のサイバーセキュリティプログラムを支援する評価者、コンサルタント、監査人、その他の第三者、特にインシデント対応（ITフォレンジック、広報、身代金交渉、災害復旧、法律事務所の専門家を含む）を支援する第三者を特定し、文書化すべきである。