要旨
グローバルレベルで開示に関する規制の強化が進んでいます。背景には、投資家にとってESGやサステナビリティを含めた非財務情報を考慮するインセンティブが高まっていること、同時に企業にも透明性が問われていることなどが挙げられます。
こうした流れを受け、米国証券取引委員会(SEC)は、年次開示と適時開示に関する新たなサイバーセキュリティの開示規則を採択し、2023年12月中旬からの適用を公表しました。このサイバーセキュリティ開示規則は、米国企業のみならず、米国外の企業(Foreign Private Issuer、FPI)にも適用されるため、SECに上場している日本企業にも対応が迫られます。
これらの開示への対応では、多くの企業でサイバーセキュリティに関するリスク管理やガバナンスの見直しと高度化が必要になる可能性があります。
また、SECに上場していない企業においても、これを機に有価証券報告書などにおけるサイバーセキュリティの開示に関する議論が促進される可能性があることから、SECの開示規則への理解や今後の動向を注視していくことが重要です。
2023年7月26日、SECは、サイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する最終規則を発表しました。これにより、同年12月中旬に新たな開示要件が発効されるまでの約5カ月間で、組織は自らのコンプライアンス計画を改めて確認する必要があります。
企業、投資家、その他の組織から提出された150通以上のコメントレターの意見を踏まえ、規則案の修正では多くの点で開示要件の簡素化が図られました。
しかし、投資家の厳しい目にも耐え得るサイバー・セキュリティ・プログラムを設けていない企業にとっては、情報開示は先行き不安な取り組みに感じられるでしょう。多くの企業は、新たな規則で求められるレベルで自らのサイバーセキュリティ能力を示す準備が整っていない状況です。なお、最終規則では、サイバーセキュリティ開示はインラインXBRL(Inline eXtensible Business Reporting Language)で示すことが求められています。
12:02
サイバーセキュリティ開示に関する新たなSEC規則への対応
SECが最近発表したサイバーセキュリティ開示に関する最終規則について、PwC Governance Insights CenterのManaging DirectorであるBarbara BerlinとPwC National OfficeのKevin Vaughnが詳しく説明します(英語での配信)。
多くの企業は、新たな情報開示要件に対応すべく、サイバーセキュリティ能力の強化に注力するでしょう。
新規則による開示要件は、サイバーセキュリティ侵害が引き起こす恐れがある損害から投資家を保護することを目的とするものです。サイバーセキュリティ関連インシデントの発生件数、重大性、規模が拡大し続ける中、投資家の間では、自らが資産と信頼を置いている企業に対して透明性を求める声が高まっています。
この新規則を通じて、SECは、企業がサイバー・セキュリティ・リスクをどのように管理しているかについて、投資家に最新かつ一貫した「意思決定に役立つ」情報を提供する義務を企業に課しています。
PwCはこの規則について、サイバー・セキュリティ・リスク管理、戦略、ガバナンスのプロセスに関する開示を拡大していくよう企業に求める、SECの行動喚起と捉えています。一部の企業にとって、こうした情報開示に向けた準備は困難な作業となるでしょうが、「案ずるより産むが易し」となる可能性もあり得ます。
サイバー関連の業務慣行やインシデントに対する透明性要件は、法的枠組みからより行動可能なものへ、一貫性に欠ける中途半端なものから「意思決定に役立つ」ものへと変化しています。
新規則:その内容と責任者について
最終規則では、企業はForm 10-K年次報告書において、自社のサイバープログラムの詳細を追記することが求められます。
また、重要性のあるサイバー・セキュリティ・インシデントが発生した場合、企業に対してForm 8-Kの提出を義務付け、迅速化することを求めています(重要性があると判断してから4日以内に報告)。この規則において、サイバー・セキュリティ・インシデントとは、「登録企業の情報システムまたは情報システムに存在する情報の機密性、完全性、または可用性を脅かす、登録企業の情報システム上または情報システムを介した不正の発生(または一連の関連する不正の発生)」と定義されています。
この規則には、適時開示が国家の安全や治安に相当なリスクをもたらすと米国司法長官が判断した場合、一連の開示の延期を認める規定も設けられています。
規則の詳細については、PwCのIn brief「SECがサイバーセキュリティ開示規則を採択」をご参照ください。
概要
- サイバー・セキュリティ・インシデント報告
- サイバー・セキュリティ・リスク管理と戦略
- サイバーガバナンス
サイバー・セキュリティ・インシデント報告
公開企業に対するSECの開示要件
重要性があると判断されてから4営業日以内に、「重要性がある」サイバー・セキュリティ・インシデントをForm 8-Kで報告する。
同報告では、インシデントの性質、範囲、時期、登録企業に関する重要性のある影響または重要性があると合理的に考えうる影響を記述する。必要な情報が提出時までに確定していない場合や入手できない場合は、その旨を明記し、当該情報が確定または入手した時点でForm 8-Kを修正する。
重要性があるかどうかの判断は、量的・質的要因の検討を含め、連邦証券法で用いられている重要性の定義に基づいて行う。
サイバー・セキュリティ・リスク管理と戦略
公開企業に対するSECの開示要件
企業は、サイバーセキュリティの脅威から生じる重要性のあるリスクの評価、特定、管理についてのプロセスがある場合には、下記を含め、当該プロセスを記載する:
- サイバーセキュリティが企業の全体的なリスク管理プログラムの一部であるかどうか、コンサルタント、監査人またはその他の第三者を従事させているかどうか、第三者の利用に関連するリスクをモニタリングおよび特定するプロセスを有しているかどうか
- サイバーセキュリティの脅威から生じるリスクが、登録企業の事業戦略、業績、財務状況に重要性のある影響を与えたか(または与える可能性が合理的に高いか)、加えてどのように影響を与えたか
サイバーガバナンス
公開企業に対するSECの開示要件
サイバー・セキュリティ・リスクに関する企業のガバナンスについて、下記に関して記載する:
取締役会によるサイバー・セキュリティ・リスクの監督(監督に責任を負う取締役委員会または小委員会の特定、および、そうしたサイバー・セキュリティ・リスクについて情報提供を受けるプロセス)
重要性のあるサイバー・セキュリティ・リスクの評価や管理、サイバーセキュリティ方針、手順、戦略の実施における経営陣の役割と専門知識
サイバー・セキュリティ・リスクの評価および管理に責任を負う管理職または委員会についての具体的な明記(関連する専門知識に関する議論を含む)
発効日:重要性のあるインシデントの開示要件は、2023年12月18日より発効されます(小規模報告企業にはさらに180日間の猶予が与えられます)。リスク管理、戦略およびガバナンスに関する開示については、2023年12月15日以後に終了する事業年度より全ての登録企業に適用されます。
大部分の企業において、コンプライアンスに関する責任は、主要な役職に就いている複数の人々が担うことになり、各人が熟考すべき問題を抱えることになります。
最近のSECの執行措置が示すように、新規則への遵守を怠った場合、企業は深刻な結果に直面する可能性が高いでしょう。SECは、情報漏えいを十分に、あるいは適時に開示しなかった企業に対し、多額の制裁金を課してきました。SECは今後も、(1)組織が要求事項の下で適切な開示を行っているか、(2)開示が必要か否かを判断するために必要な項目をエスカレーションする統制・手順を備えているか、という2方面のアプローチで、執行していくでしょう。
全体像
新規則を遵守していくためには、セキュリティ、財務、リスク、法務の各チームに加え、主要事業部門リーダーの連携が適宜必要となります。そのため、SECの規則を満たす適時かつ正確な情報開示方法について社内で合意しておくことが有用でしょう。
幸いなのは、これらの各能力が相互に補強し合うものである、という点です。すなわち、ある分野の改善が、他の分野の改善にもつながるのです。ここでは、組織的取り組みの統合に役立つフレームワークを紹介します。
サイバー戦略と実践に関する、意思決定に役立つ報告に必要な能力
PwCの枠組み
SECによるサイバーセキュリティ情報開示を成功に導くために検討すべき8つの問い
この規則案が最初に公表されて以来、取締役会メンバー、CFO、CIO、CISOとの対話において、いくつかの問いが繰り返し検討されてきました。企業は、SECや投資家の理解を得るために、これらの問いに明確な答えを用意しておく必要があるでしょう。
- サイバーインシデントの開示
- サイバー・セキュリティ・リスク管理と戦略
- サイバーガバナンスと報告
サイバーインシデントの開示
1. 自社のサイバー・セキュリティ・インシデント報告プロセスはどのようなものか リーダーと取締役会は、内部エスカレーションと外部報告のプロセスを理解しておくことが重要です。実際に事象が発生する前に、エスカレーションプロセスのテストを行うことを検討してみてください。
2. サイバーセキュリティ侵害や攻撃の重要性をいかに効果的に判断するか 重要性の判断は複雑であり、個人の責任で行うべきではありません。重要性の判断には、CFO、法律顧問、CISO、CIO、前線のビジネスリーダーがかかわるべきです。
企業はSECが2018年に発表したサイバー開示に関するガイダンスに留意し、「企業とその事業、財務状況、業績への影響を見極める適切な方法および、係るリスクやインシデントの潜在的な重要性を判断するプロトコルを提供する」ような開示統制と手順を有することになるでしょう。
多くの企業は、財務諸表の観点から重要性を議論することには慣れているものの、議論はそうした数字的観点にとどまりません。企業の評判、クライアントやベンダーとの関係、法令遵守への影響など、定性的な要素も考慮する必要があります。また、関連事象の累積的な影響も考慮し、侵害や侵害の試みを長期的視点で見ていく必要もあります。
3. 重要性の判断プロセスが十分に文書化されているかどのように確認すればよいか インシデントが発生した場合、インシデントの重要性をどのように判断したのか、特に重要性がないと判断した場合は、判断に至る詳細を文書化する必要があります。SECがそうした結論に疑問を呈した場合、判断プロセスの詳細、定量的・定性的要因の検討、理由や根拠を示し、その正当性を証明する必要があります。
4. 開示すべき適切な情報レベル サイバー・セキュリティ・プログラムの機密性を踏まえ、SECが求める開示は概ね原則主義に基づくものとなっています。とはいえ、サイバーセキュリティの手順やプログラムに関する機密情報を明らかにすることなく新たな要件に準拠することは、企業にとって重要な検討事項となるでしょう。インシデント報告のための標準テンプレートを作成して常備し、イベント発生時に適宜修正して用いている企業もあります。
5. 4日以内に報告できるか インシデントの開示について、4日以内という設定に関連して多くの混乱が見られます。インシデントが発生または検出された時点ではなく、「重要性がある」と判断された時点から、時計の針は動き始めます。規則では、インシデントが発生してから重要性の判断までの具体的な期限は定められていませんが、重要性の判断は、不合理な遅延なく行わなければなりません。
6. 「重要性がある」とみなされる関連事象を報告する、という要件についてどのように準拠するのか 最終規則では、Form 8-Kによる開示が必要かどうかを判断するために重要性がないリスクを個別に集計する、という要件は削除されました。しかし、最終規則でも、関連する事象―例えば、同じ悪意あるアクターや同じ脆弱性を悪用する事象―について、重要性があると企業が判断した場合には、報告することが求められています。
サイバー・セキュリティ・リスク管理と戦略
7. 企業の方針と手順、リスク評価、統制、統制モニタリングは、公に開示するのに十分なものか
方針と手順:自社の方針と手順は、少なくとも1つ以上の、同じ業界において定評のある枠組みの仕様に沿っていますか。定期的に更新していますか。社内の全員がその内容および責任について認識していますか。係る方針と手順を徹底して遵守していますか。
リスク評価:リスク評価プロセスを整備しているだけでは不十分です。それは強固なものですか。組織全体に適用され、事業にとってリスクの高いものに焦点を当てたものですか。どの位の頻度でリスク評価を実施していますか。評価結果は、企業のサイバー戦略、企業リスク管理プログラム、資本配分に反映されていますか。サイバー・セキュリティ・プログラムの評価に際して、第三者に加わってもらったことはありますか。
統制と統制モニタリング:リスク軽減活動と統制の有効性をどのようにモニタリングしていますか。同じ業界の枠組みに照らして評価した場合、その能力の成熟度はどの程度ですか。これらの統制の有効性について、リーダーと取締役会はどのように情報を得ていますか。
サイバーガバナンスと報告
8. 取締役会レベルでサイバーセキュリティを監督するために必要な情報を得ていますか。 最終規則では、Form 10-K報告書に取締役会によるサイバー・セキュリティ・リスクの監督について記載することを求めています。これには、サイバー・セキュリティ・リスクの対応の割当て(取締役会全体、委員会など)や、取締役会/委員会がリスクについて報告を受けるプロセスなどが含まれます。
最終規則では、サイバーに関する専門知識の開示は必須とはならなかったものの、取締役は、自分たちが規則で規定されている分野にどれだけ精通しているかを検討すべきでしょう。取締役会は全体として、監督を行うのに十分な程度までサイバーセキュリティに関する概念と要件を理解する責任があります。取締役は個人として、また集団として、そうした学習を続けていることをどのように確認すればよいでしょうか――サイバー専門家を会議に招くのか、関連する授業その他の研修に参加するのか、外部アドバイザーに相談するのか。
準備度合の評価とテスト
自社のサイバープログラムが情報開示に対応可能なものであるか、上記の問いに対する答えを検討してみましょう。得られた知見を徹底的に診断することで、自社の資産と評判を守っている姿勢を投資家や世間に認めてもらうためにはどこを変更すべきか、正確に理解することができるでしょう。
また、サイバー・セキュリティ・インシデントが発生した場合に用いるプロセス(重要性の判断プロセスや、重要性の判断から4営業日以内にForm 8-Kで必要な情報を提出するプロセスなど)を実施するための「机上」演習を組んでみるのもよいでしょう。このような情報開示を適時かつ適切に実施するだけの準備が整っているか自信が持てない場合、このような演習が自信の向上につながります。すでに自信がある場合も、演習を実施することでそうした自信を検証することができるだけでなく、実施しなければ分からなかったかもしれない問題点を浮き彫りにすることもできるでしょう。
このような評価診断や予行演習を実施したクライアントの多くが、SECの新たな開示規則に対する準備が思っていたほど整っていないことに驚いています。SECにより課される罰金だけでなく、投資家の信頼や信用、市場価値の損失といった不測の事態を避けるためにも、今からこうしたステップを踏み始めることが重要でしょう。
※本コンテンツは、SEC’s new cyber disclosure rule How to prepare for disclosures in a new era of transparencyを翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。
