「SECのサイバーセキュリティルール」

「ファッションと美容の世界におけるサイバーセキュリティの重要性」

米国証券取引委員会（SEC）が最近採用した規則により、公開企業は経験した重要なサイバーセキュリティの事件を4営業日以内に開示することが求められています。企業が事件が重要であると判断した場合、新しいForm 8-KのItem 1.05を使用して、4営業日以内に開示する必要があります。

企業は、事件の性質、タイミング、範囲の重要な側面、および会社への影響（または合理的に重大な影響）について記述する必要があります。SECのプレスリリースによると。

このルールのタイトルは、サイバーセキュリティリスク管理、戦略、ガバナンス、および事件の開示です。専門家はこれをSECのサイバーセキュリティ規則やルールと呼んでいます。これらの用語へのすべての参照は同じSECの規則を意味します。

SECの発表によると、このルールは、企業が新しいRegulation S-KItem 106を使用して、サイバーセキュリティの脅威からの重大なリスクをどのように評価、特定、および管理するかを説明するよう要求しています。Item 106には、リスクの重要な影響および以前のサイバーセキュリティの事件を文書化する情報も含まれている必要があります。

• 「TikTokショップドロップシッピングでお金を稼ぐ方法」
• 「中国が新しい生成AIの安全性を判断する計画を策定し、詳細に詰まっています」
• 「AIのアプローチにより、『運動能力の高い知能を持つ』ロボット犬が生み出されました」

企業のItem 106の提出は、取締役会がサイバーセキュリティの脅威からのリスクに関する監督をどのように行っているかを説明する必要があります。また、経営陣の役割と専門知識、経営陣全体の役割と専門知識について説明する必要があります。サイバーセキュリティ事件を迅速に報告することに加えて、この規則はItem 106の開示を企業の年次報告書（Form 10-K）で毎年要求しています。

インターネット上では、この規則が企業、経営陣、取締役会、およびサイバーセキュリティに与える影響について議論が活発化しています。

SECの議長であるGary Gensler氏は、この規則を発表する際のSECのプレスリリースで、企業がより一貫性のある、比較可能な、意思決定に役立つ方法でサイバーセキュリティ情報を開示することで、企業と投資家双方が利益を得ると述べました。

ルールの目的は、株主が投資決定をする際に必要な情報を提供することです。このルールにより、企業は攻撃や同業他社の対応技術からより迅速に学ぶことができるかもしれません。

ただし、企業はこのルールとその4日間の開示要件に対処するのに困難を伴うでしょう。

Ken Deitz氏、サイバーセキュリティ企業SecureWorksのCSO/CISOによると、サイバーセキュリティの事件は複雑です。調査と封じ込めが行われている間に潜在的な影響を開示することは、事後に事件を評価することとは大きく異なります。

Deitz氏によれば、企業のタイムリーな開示に対するパフォーマンスは賛否があり、SECと市場が求めるものを見つける上で調整期間があります。

4日間は非常に短い期間に聞こえるかもしれませんが、一部の企業がサイバーセキュリティのイベントと侵害を開示するのにかかった数週間から数ヶ月と比較すると、その4日間の締め切りについてルールが何を述べているか、およびそれを延長するためのオプションを理解することが重要です。

Kim Phan氏によると、全米の法律事務所であるTroutman Pepperのパートナーである彼女によれば、企業がサイバーセキュリティインシデントを発見してから4営業日以内にサイバーセキュリティの開示を行う必要はありません。ただし、企業がサイバーセキュリティインシデントが重要であると判断する日から4営業日以内に開示をする必要があります。

Phan氏によれば、この規則は、申請書8-Kの開示が国家安全保障または公共の安全に重大なリスクをもたらす場合に限定的な遅延を提供しています。ただし、この救済を得るためには、米国司法長官の介入が必要となると彼女は述べています。

サイバーインシデントが重要かどうか、およびそれを判断する方法は、開示のタイミングを理解するために不可欠です。

Phanによれば、SECのサイバーセキュリティ規則は、「重要性」についての米国最高裁判所の判決であるTSC Industries、Inc. v. Northway、Inc. 426 U.S. 438（1976）の長年の受け入れられた定義を採用しています。

Phan氏は、何かが重要である場合は、合理的な株主が投資の決定をする際にそれを重要な要素と考慮する可能性が高い、またはそれが利用可能な情報の総合的な取りまとめを著しく変えた可能性があると述べています。

公開企業はTSC v. Northwayの重要性基準を適用する経験を持っていますが、多くの企業はサイバーセキュリティインシデントにこの基準を適用することに不安を抱いているかもしれません。

企業は基準を解釈する必要があります。Deitzによれば、企業は自身の重要性の定義を作り、内部および外部の法律顧問からの指導を得ながら試みるでしょう。彼は「おそらく、彼らはその年次の10-K提出時に重要性の定義を公表するでしょう。」と述べています。

訴訟がおそらく続くでしょう。Deitzによれば、企業が重要性を判断するために試みる方法は興味深いものになるでしょう。「ただし、SECと一般市民は訴訟によって最終的な判断を下すことになります。」とDeitzは述べています。Deitzによれば、何社かの企業は、重要とされる要素の明確な定義が得られる前に、株主とSECの両方を訴えるために裁判所に立ち向かうことになるでしょう。

年次の開示によって、組織にとってサイバーセキュリティがどれだけ重要かが明らかになるでしょう。Deitzによれば、企業のリスク管理プロセスに関する開示は、そのプロセスがどれだけ成熟しているか、および企業の全体的な機能においてそれらがどれだけ優先されているかを示唆しています。

また、開示は企業がサイバーセキュリティにおいてどれだけ強かったり、弱かったりするかを示すでしょう。Ordrという接続されたデバイスのサイバーセキュリティ企業のCEOであるJim Hyman氏によれば、いくつかの企業は曖昧で証拠に乏しいサイバーセキュリティ計画を持っており、頻繁に攻撃や侵害に巻き込まれています。彼は「監視機関はそれらの企業を責任に追い込むだろう」と述べています。

SECの規則は、Cスイートと取締役会に対してサイバーセキュリティに対する責任を求めています。取締役会はサイバーセキュリティリスクの監督を行わなければなりません。「取締役会は企業のサイバーセキュリティポリシーとプログラムを監視する上で増大した役割を果たしています。サイバーセキュリティの要件がより詳細かつ要求が高まり、脅威が増えているため、彼らはサイバーセキュリティに関する経験のある取締役を積極的に探しています。」とPhan氏は述べています。

Alexander Koskey氏は、金融サービスのサイバーセキュリティおよびデータプライバシーチームを共同で主宰するBaker Donelsonの共同議長であり、ほとんどの取締役会はサイバーセキュリティリスクの監督を強化し、サイバー脅威に関するトレーニングを受け、エグゼクティブから定期的な報告を受け取り、進行中の脅威の状況を把握するようになっていると言います。

一方、Cスイートの役割は、重要なサイバーセキュリティリスクを管理することに関しては大きく異なり、その専門知識もさまざまです。Hymanによれば、Cスイートの役割については明確な理解がないものの、2016年のUberのデータ侵害事件に続いて元セキュリティ責任者のJoe Sullivan氏が刑事罰を受けるといった判例が存在し、裁判所が彼らのサイバーセキュリティの役割を定義しようとしていることを示唆しています。「要するに、Cスイートと企業の取締役会はこれを真剣に受け止めるべきです。」とHymanは述べています。

公開企業の株主の監視を超えて、SEC規則がサイバーセキュリティを改善するか、単に企業にさらなる負担をかけて問題を増やすだけなのかという問題もあります。

Phanによれば、この規則は、サイバーセキュリティインシデントに関する詳細な情報を要求するのではなく、そのインシデントの物質的影響に焦点を当てた開示を試みており、この規則の批判者は悪意のある行為者が誤用する可能性があると主張していました。

Koskeyによれば、新しい規則は短期的には企業に負担をかけるかもしれませんが、これらの規則はより良いサイバーハイジーンを促進するはずです。彼はこれらの規則が将来のサイバーセキュリティ関連法規の基準になる可能性があると述べています。

SEC規則の評判や財務効果は、企業のサイバーセキュリティの能力の高さによって異なります。”成熟度が低い企業は、インシデントの開示により評判の損害や財務的な影響を大きく受けることが予想されます”、Deitzは言います。

David Geerは、サイバーセキュリティに関連する問題に焦点を当てたジャーナリストです。彼はアメリカ、オハイオ州クリーブランドから執筆しています。

We will continue to update VoAGI; if you have any questions or suggestions, please contact us!