企業は、サイバーインシデントの影響を迅速に評価できるよう、情報収集から即時の文書化、必要であればその開示に至るプロセスや手順、統制方法を確立しておくよう検討すべきです。
米国証券取引委員会(SEC)は2023年7月、新たなサイバーセキュリティ開示規則を発表しました。これは、1934年証券取引法に基づく報告義務を有する全てのSEC登録企業に適用されるものとなります。この規則は2023年12月18日に発効し、「重要」と判断されたサイバーインシデントに関する特定の情報について、適時に開示することを義務付けています。
概要
- SECは最終規則において、登録企業が適用すべき重要性の判断基準は連邦証券法および重要性に関する多数の判例で示されたものと一貫性があることを確認しています。
- この基準は、規則の採択に関するリリースで概説されているとおり、最高裁判所による情報の重要性に関する判断に基づいています。すなわち、「合理的投資家が、ある事実を『重要』と考える蓋然性が高い場合」、または「ある事実が入手可能な情報全体(total mix of information)を著しく変えたと思われる場合」、その事実は「重要」と判断されます。
- サイバーインシデントにこの基準を適用するために、企業はインシデントの影響や、合理的に起こり得ると判断される影響の評価など、定量的および定性的要素の両方を客観的に分析できるよう、準備を整えておく必要があります。
- 重要性の決定には高度な判断が求められる場合が多く、情報を活用した慎重なプロセスを踏むことが有用です。少なくとも、企業のIT/セキュリティ、財務、法務各部門の間で効果的なコミュニケーションを図る必要があります。これにより、重要性に関する評価、適切な対応策の決定、開示の必要性および内容に関する評価を行う各担当者が、適時に正確な情報を入手できるようにしていきます。
- 企業は、サイバーインシデントを評価するための確固たるプロセスを定める必要があります。このプロセスは、セキュリティおよびITチームによる情報収集および評価、SECへの開示を担当するチーム(財務・法務)へのエスカレーション、判断・結論およびそれらの根拠の文書化から始まります。
新たな要素と従来からある要素
重要なサイバーインシデントの存在を開示することは新たな要件ではありません。
2011年および2018年にSECが発行した解釈ガイダンスによれば、登録企業は既存のSEC規則に基づき、重要なサイバーセキュリティインシデントおよびそれに関連する影響を原則的に開示する義務を負います。2018年にSECが発行した「Commission Statement and Guidance on Public Company Cybersecurity Disclosures」において「企業は、サイバーセキュリティ関連を含む重要な事象を正確かつ適時に開示できるよう、適切かつ効果的な開示統制・手順を確立し、維持することが求められる。こうした確固たる開示統制・手順は、企業が連邦証券法に基づく開示義務を満たす一助となるだろう」と記されています。SECは最終規則においても「登録企業はすでに重要なサイバーセキュリティインシデントの開示をすでに行っている」と強調しています。
- 2023年6月規則の新たな要素は何か―重要なサイバーインシデントについて、「どのような内容を」「どのように」「いつ」「どの場で」開示するかを具体的に規定
- 重要性の評価にあたり、企業はどのような点を検討すべきか
- インシデントを「重要」と判断するには、実害が発生していなければならないのか。
- 規則は、重要性の判断において「重要ではない」サイバーインシデントもあわせて検討するよう求めているのか。
2023年6月規則の新たな要素は何か―重要なサイバーインシデントについて、「どのような内容を」「どのように」「いつ」「どの場で」開示するかを具体的に規定
新たな規則は、重要なサイバーインシデントについて企業が開示する情報の標準化を目的としています。登録企業は、インシデントの性質、範囲、時期の重要な側面、重要な影響または合理的に起こり得ると思われる重要な影響(財務状況および経営成績への影響を含む)を、Form 8-K の新項目Item 1.05において開示しなければなりません(FPIについてはForm 6-K)。同規則の採択に関するリリースでは、企業がインシデントの重要性および影響を評価する際、「財務状況や経営成績への影響だけでなく、定性的要素についても検討すべき」としています。
「重要なサイバーインシデントである」という判断を下した後、Form 8-Kで報告する企業は4営業日以内に開示を行わなければなりません。規則では重要性の判断を下す期限を定めてはいないものの、かかる判断はインシデント発見後「“不当に遅れることなく(without unreasonable delay)”なされなければならない」とされています。
重要なサイバーインシデント開示要件は、2023年12月18日付(報告義務を有する中小企業については2024年6月15日付)で発効します。
重要性の評価にあたり、企業はどのような点を検討すべきか
重要性評価は、「合理的投資家にとって重要な情報であるか」という点を重視し、連邦証券法で定められた枠組みを用いて行う必要があります。この枠組みは、現在企業が用いているものと同じです。また、評価は各企業や各サイバーインシデントに固有のものとなります。
SECのサイバーインシデント開示規則は、以下を含む定量的・定性的要素例をまとめています。
- 企業の評判の毀損
- 事業中断の影響
- 企業の顧客やベンダーとの関係悪化
- 競争力の低下
- 訴訟、規制当局による調査や措置の可能性(州・連邦政府当局および海外当局による規制措置を含む)
- 事業価値への影響
- インシデントにより実際に発生した(または発生が見込まれる)、直接および間接コスト
こうした要素を評価する上で、例えば以下のような問いについて考えることが役立つでしょう:
- 攻撃の性質はどのようなものでしたか
それは新しいタイプの攻撃でしたか、あるいは旧来の攻撃の亜種でしたか。攻撃は自社のみを狙ったものでしたか、あるいは特定の業界、地理的領域、その他の多くの企業に対する広範な攻撃の一部でしたか。攻撃は自社のシステム上で行われましたか、あるいは第三者を通じてなされたものですか。 - 脅威アクターの特徴は何ですか
アクターは個人、結束力の緩い集団、洗練された犯罪組織、国民国家でしたか。 - どのシステムが侵害されましたか。そのシステムにはどのような情報が保管されていましたか
企業の全体的な運営におけるシステムの役割は、重要な検討事項になります。 - 対応のタイムラインおよび性質はどのようなものでしたか
インシデントの検出に要した時間や解消に至るまでに要した時間はどの程度でしたか。インシデントの解決にはどの程度の専門知識が必要でしたか。インシデントによって、経営幹部や取締役会メンバーがどの程度関与することになりましたか。 - 解消されていない潜在的影響は何ですか。事業の将来的な動向にどのような影響がありますか
インシデントの解決、システムの強化、同様の攻撃を防ぐための継続的対応策に伴う直接/間接コストについて検討することに加えて、インシデントまたは将来的なインシデントの結果、業務や戦略の変更を余儀なくされた場合に生じるであろうその他のコストはありますか。収入、支出、収益性および/またはキャッシュフローの見込みに変更はありますか。 - 企業はどの業界に属していますか。投資家は、バリュエーションにおいてサイバーリスクをどの程度考慮していましたか
一部の業界はサイバーインシデントのリスクが高いと考えられているため、投資家はバリュエーションおいてサイバーリスクを織り込み済みである場合があります。それ以外の業界については、サイバーリスクが時価評価に考慮されていない場合もあります。そうした業界でインシデントが発生した場合、投資家の捉え方も異なるでしょう。 - インシデントに関連して想定される法的影響としてどのようなものがありますか
例えば、インシデントによって今後、訴訟、強制執行その他法的手続きのリスクや蓋然性が高まりますか。財務諸表で計上または開示すべき偶発損失(loss contingencies)はありますか。
上記のリストが検討事項の全てというわけではありません。経営陣は、自社の状況を検討し、あらゆる関連要素を特定し、それらの要素を総合的に考慮して定量評価する方法を検討する必要があります。最高裁は、重要性に関する意見として「情報が誤っている場合や省略されている場合、かかる情報の重要性について疑念が生じるのはよくあることである」としていますが、そうした疑念は、「法が保護対象としている者(この場合は投資家)に有利となるよう解決されるべき」としています。
SECは長年にわたり、SAB 99のガイダンスをはじめ、財務諸表における虚偽表示の重要性を評価する作成者をサポートするガイダンスを提供してきました。財務諸表の数字や開示にサイバーインシデントの影響が出てこない場合もあります。例えば、サイバーインシデントが各種IPの窃盗であった場合、それらは市場において当該企業の全体的価値を構成する重要な要素と考えられているものの、貸借対照表上の数字には反映されません。こうした理由から、サイバーインシデントの重要性評価は、SAB 99またはその他SECスタッフのガイダンスやステートメントにおける議論以上に、定性的要素をより深く考慮する必要があるかもしれません。
インシデントを「重要」と判断するには、実害が発生していなければならないのか。
この質問に対する答えは「いいえ」です。規則の採択に関するリリースでは、「重要なサイバーセキュリティインシデントは必ず実害をもたらすとは限らない」としています。
例えば、ある企業がIP窃盗被害を受けたとします。それによってただちに損害が発生することはないかもしれませんが、その後第三者に販売されるなど、時間の経過とともに損害が発生する可能性が高いと推察される場合、実害がまだ発生していなかったとしても、当該インシデントは「重要である」と判断できます。
侵害による評判の毀損も同様に、予見可能なかたちで、時間の経過とともに被害の度合いが増す可能性があります。また、稀なケースではありますが、サイバーセキュリティインシデントによる危機が、まだ実害を与えていないのにも関わらず企業に重大な影響を及ぼす場合もあります。そうした状況に陥った場合、インシデントがもたらす重大な影響を投資家に知らせるべきでしょう。
先に述べたように、「ある事実が、入手可能な情報全体(total mix of information)を著しく変えた蓋然性が高いと合理的投資家が判断した場合、その事実は重要である」という最高裁の定義を、念頭に置いておくことが重要です。
規則は、重要性の判断において「重要ではない」サイバーインシデントもあわせて検討するよう求めているのか。
この質問に対する答え「はい」です。ただし、インシデントに関連して発生した事象に限ります。サイバーセキュリティインシデントの定義には、関連する一連の事象が含まれます。したがって、インシデントの重要性判断を行う際、関連事象もあわせて検討する必要があります。そして、「重要」と判断された場合には、関連事象もあわせて開示しなければなりません。こうした関連事象としては、同一の悪意アクターが関与した事象の場合や、複数のアクターが同一の脆弱性を攻撃した事象などが挙げられます。関連性のない事象はあわせて検討する必要はなく、個別に重要性を評価します。
第一にすべきこと:重要性判断プロセスについて社内で合意する
重要性の判断を誰か1人に委ねてはなりません。以下の3つのステップを踏むことで、後で不快なサプライズに見舞われるのを回避できるでしょう。
1. 適切な人材と組織的プロセスを確立する
重要性判断の組織的プロセスを確立すべき中核グループとして、例えば、CISO、CIO、CTOが指揮するチーム、CFOおよび財務チーム、顧問弁護士(GC)および法務チームが挙げられます。新たな規則によって、これら3つの機能チームがいかに効率的なコミュニケーションを行い、協調しているか試されることになります。
重要なサイバーインシデントの判断と開示について、各機能チームの責任分担を整理します。また、基本的知識を共有することで、部門間の垣根を取り除いていきます。CISO、CIOおよびCTOが必要とするのは重要性に関する情報ですが、CFOおよび財務チーム、GCが必要とするのはインシデント対応およびサイバー戦略に関する情報になります。
以下の問いについて検討することにより、企業が確立または強化すべきプロセスを予測することができます。
- 重要性判断について:企業は、どのような種類のインシデントを合理的に「重要である」「重要である可能性が高い」と考えていますか。サイバーインシデント発生時、投資家にとって最も関連性が高い定性的要素は何ですか。合理的投資家の視点から影響を評価するために、企業はどのような仕組みを整備しておく必要がありますか。
- 重要性判断に必要な情報について:各インシデントをレビューし、客観的かつ事実に基づく方法で共同の判断を下すためには、どのような情報が必要ですか。インシデントとあわせて検討すべき関連事象をどのように特定しますか。インシデントの性質、時期および範囲ならびに影響を開示するためには、どのような情報が必要ですか。開示に必要な情報を収集し、4営業日以内に8-Kを提出するためには、どのようなプロセスを設ければよいですか。外部のSEC法律顧問に相談を仰ぐ必要はありますか。
- 開示プロセスの明確化について:インシデントのエスカレーションはいつ、誰にすべきですか。重要であるという結論に達した後、8-Kを4営業日以内に提出するという義務を果たすために、どのようなプロセスで開示ドラフト作成およびレビューを行うべきでしょうか。
2. 重要性判断に必要な情報の確認
CISO(またはCIO、CTO)は、重要性判断の最終責任者が必要とする情報を収集する必要があります。このプロセスでは、以下の問いについて明確化しておくことが有用でしょう:サイバーインシデントの既知/未知の事実や環境に基づく、伝達すべき重要な情報は何ですか。CISOおよびチームは、迅速に、また重要性の判断に極めて役立つ形式で情報を提供できますか。必要不可欠な情報の収集に外部専門家が必要となった場合に備えて、フォレンジックファームなどの第三者と適切な関係性を構築していますか。
3. サイバーインシデントの発生ごとに、即時の文書化に向けて準備する
企業としてのプロセス、関与した人物、最終結論(およびその根拠)を文書化することが極めて重要です:各チームは、インシデントに関する(既知および未知の)事実や、重要性評価において検討した要素を即時に文書化することができますか。SECからの要請がある場合に備えて、企業として文書を準備しておくことが望まれます。
※本コンテンツは、Making materiality judgments in cybersecurity incident reportingを翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。
