米国SECサイバーセキュリティ開示規則適用後の5つの傾向

  • 2025-08-05

はじめに

米国証券取引委員会(SEC)は、新たなサイバーセキュリティの適時開示や年次報告に関する開示規則を、2023年12月18日より適用開始しました(小規模報告企業にはさらに180日間の猶予が設けられました)。この開示規則が策定された背景には、サイバー攻撃による被害が企業価値や財務に与える影響が深刻化しており、投資家保護の観点から透明性の高い情報開示が強く求められるようになってきたことがあります。

一方、日本企業においてもサイバーセキュリティに対する経営層の関心は高まりつつありますが、情報開示に関する確立された規則やガイドラインは依然として存在しておらず、情報開示に関する透明性の確保は整備の途上にあります。特に外国人投資家の比率が高い企業では、グローバルスタンダードに即した情報開示を求められる場面が増えてきており、情報開示の方針を見直す必要があります。

本レポートでは、SECの新規則施行から1年半が経過したタイミングで、米国におけるサイバーセキュリティ情報開示の傾向をまとめ、日本企業への推奨事項を示します。

SECサイバーセキュリティ開示規則の概要と動向

SECは、企業に対して透明性を担保するために各種の報告義務を課しており、企業は一定の様式(Form)に従って情報開示を行う必要があります。サイバーセキュリティに関しては、重大インシデントの報告にはForm 8-Kまたは6-Kの様式が、年次報告にはForm 10-Kまたは20-Fの様式が用いられます。

各Formには、「Item(項目)」と呼ばれる構成要素が定義されています。例えば、適時開示様式であるForm 8-Kの「Item 1.05」は、重大なサイバーインシデントの開示に関する項目であり、年次報告様式であるForm 10-Kにおける「Item 1C」は、サイバーリスク管理体制やガバナンスに関する項目とされています(図表1) 。

なお、米国証券登録企業(Registrants)とは、米国内に本社を有し、SECに登録されている上場企業を指します。一方、外国民間発行者(Foreign Private Issuers:FPI)は、SECに上場している日本企業など、本社が米国外に所在する企業が該当します。

図表1:サイバーセキュリティに関するSEC報告フォーム

SECは、開示規則の発効後も定期的に声明という形で、サイバーセキュリティに関する情報開示の方法について発信しています。例えば、2024年5月には「全てのサイバーセキュリティインシデントがForm 8-KのItem 1.05で開示されると、投資家が軽微なインシデントを重大なものと誤認するおそれがある」として、Item 1.05(重大なインシデント)とItem 8.01(その他のイベント、または重要度を精査中のイベント)を明確に区別するよう企業に求めています。また、重大性の判断にあたっては、「財務状況や営業成績」への影響に加え、定性的な要因も考慮するよう促しています1。 

PwCの調査手法

PwCでは開示規則適用後の1年半後に当たる2025年6月に、SECの新規則施行後に提出された開示書類を対象に、サイバーセキュリティ情報の開示傾向を定量的・定性的に分析しました。調査手法は、以下図表2のとおりです。

図表2:SEC情報開示の調査内容

 

適時開示

年次報告

調査対象項目

Form 8-K(米国証券登録企業)、Form 6-K(外国民間発行者)

Form 10-K(米国証券登録企業)、Form 20-F(外国民間発行者)

調査対象企業

2023年12月18日~2025年5月31日の期間にサイバーインシデントの情報開示をした62社89件

ダウ・ジョーンズ
工業平均株価構成銘柄30社のForm 10-K、Form 20-Fを開示しているNYSE上場日本企業9社

調査方法

EDGAR(SEC開示文書データベース)による調査

調査時期

2025年6月

調査結果(5つの傾向)

1. 定量分析

SEC開示書類の定量分析を実施したところ(図表3)、インシデント適時開示情報の文字数は平均434単語であり、英文レポート1ページ分程度のボリュームでした。また、インシデント検知からSECへの報告までの平均日数は7.8日であり、SECが提出期限として定めた「4日以内」よりも時間がかかっていることがわかりました。その理由としては、軽微なインシデントと重大なものが混在していること、開示規則を施行して間もないため誤解や混乱が生じていたが原因と考えられます。さらには、1インシデントあたりの平均開示回数は1.4回であり、多くの企業で続報を提出していることがわかりました。

年次報告においては、平均文字数は927単語であり、英文レポート2ページ分程度のボリュームでした。最大文字数は1512単語と詳細を開示する企業も確認できました。

図表3:SEC情報開示の定量分析結果

調査項目

 適時開示
Form 8-K(n=89)、Form 6-K(n=7)		 年次報告
Form 10-K(n=30)、Form 20-F(n=9)

単語数

平均

434単語

927単語

最大

1367単語

1512単語

最小

71単語

370単語

インシデント検知からSEC報告までの日数2

平均

7.8日

 

最大

86日

最小

0日(インシデント当日に報告)

1インシデントあたりの平均開示回数

1.4回

2. 適時開示Form 8-K/6-Kのグッドプラクティス

インシデント適時開示において、優れた開示事例にはいくつかの共通点が見られます。以下に、グッドプラクティスをまとめます。

  • 初報だけでなく、詳細な情報を含む続報を複数回提出している
  • 確報として財務的影響を金額ベースで具体的に記載している(例:1株あたり利益影響、追加で必要となった費用、保険の適用状況)
  • 検知、封じ込め、調査完了などの各日付を明記している
  • サードパーティ起因のインシデントでも自社影響を率直に開示する姿勢を示している

3. 適時開示Form 8-K/6-Kに関する課題事項

サイバーインシデント報告の課題事項は以下のとおりです。これらの課題の原因は、開示規則を施行して間もないため、情報開示の内容に混乱が生じていたことが考えられます。しかし、インシデント情報開示の不備は、投資家の適切な判断を妨げる要因となることから、今後の改善が求められます。

  • インシデント発生の初期段階では、Item 1.05(重大なインシデント)とItem 8.01(その他のイベント、または重要度を精査中のイベント)の区別が不明瞭なまま提出されている
  • SECは、重大なインシデントを認識した時点で4営業日以内に1.05を提出することを推奨しているが、期日内に提出していないケースがある
  • インシデント検知日を明示していない報告書が複数存在し、時系列の評価が困難な場合がある
  • 財務的影響や対応措置に関する表現が定型化しており、実態との整合性が疑われるケースがある
  • 不正アクセス等の記載内容が抽象的な表現にとどまり、被害規模が不明な場合がある

4. 年次報告Form 10-K/20-Fのグッドプラクティス

日本の有価証券報告書や統合報告書に相当する年次報告Form 10-K/20-Fに関して、投資家にとって有益な情報を開示している企業が複数確認できました。これらの記載内容は、外国人投資家の比率が高い日本企業にも参考になります。

<リスクマネジメントと戦略> 

  • 自社の事業特有のリスクを特定し、開示している(例:当社は、顧客の重要な営業関連情報を扱っており、全ての活動基盤であるシステムとデータの安全を維持することの重要性を認識している)
  • 参照しているフレームワークを明記している(例:ISO 27001、ISO 28001、NIST Cybersecurity Framework、CRI Profile)
  • 直近で発生したインシデントの原因や財務影響を記載している
  • サードパーティ(サプライヤーや委託先等)のリスク管理について記載している

<ガバナンス>

  • 取締役会の監督に関して、責任の所在や報告頻度を開示している(例:取締役会のリスク委員会はサイバーセキュリティプログラムの監督責任を負っており、CISOから年2回の報告と、年1回の取締役会への報告を実施)
  • CISOや責任者の経歴、勤続年数、現職務内容等を開示している(例:CISOは30年以上の業界経験を持ち、2015年11月以降、当社のゼロトラストアーキテクチャの構築等において中心的な役割を果たしている)
  • 情報共有を行っているコミュニティ(ISAC等)が存在する場合、その取り組みを記載している

5. 年次報告Form 10-K/20-Fに関する課題事項

今回の調査において、当初は業種、企業規模、設立年数などで情報開示の傾向に違いがあるのではないかという仮説を立てていました。しかし、年次報告に関しては、各社とも類似した開示内容になっており、顕著な差分や傾向は確認できませんでした。SEC開示規則の目的である「投資家保護のための透明性の高い情報開示」を達成するためには、今後は自社特有のリスクを特定し、それに対する戦略やガバナンスを開示することが求められます。

  • リスク要因について、自社固有の記載が少なく、類似した内容になっている(例:サイバーセキュリティの脅威が急速に進化・複雑化している)
  • 取締役の関与について記載がない、または、CISOや責任者の経験や能力、現職務内容を掲載していない
  • 金融機関やIT企業等のデジタル技術への依存が高い業界にもかかわらず、情報開示が少ない

日本企業への推奨事項

SEC開示規則適用後の1年半後にあたる2025年6月に、サイバーセキュリティ情報の開示傾向を定量的・定性的に分析した結果、投資家に有益な情報を開示している企業がある一方で、インシデント情報開示の遅延や、類似した開示内容といった課題も見られることがわかりました。

サイバーリスクが財務状況に与える影響が大きくなってきている中、サイバーセキュリティリスクに対する投資家の意識も高まっています。日本の上場企業は外国人投資家の比率が高まっており、グローバルスタンダードに即した情報開示は企業の持続的成長に欠かせなくなっています。今回の調査を踏まえた、日本企業への推奨事項は以下のとおりです。

  • 重大なインシデントが発生した場合、適時開示の初報を速やかに発信し、続報で具体的な財務影響を開示する
  • 年次報告(有価証券報告書、統合報告書など)では、自社特有のリスクを特定し、それに対する戦略やガバナンスを開示する
  • セキュリティ体制、CISOや責任者の役割だけでなく、取締役会の監督責任についても情報開示する

以上

1 SEC, Speeches and Statements(May 21, 2024),
https://www.sec.gov/newsroom/speeches-statements/gerding-cybersecurity-incidents-05212024

2 Form 8-Kは、インシデント検知日の記載がある1回目の報告書を対象に算出。Form 6-Kは、SEC受理日を対象に算出

執筆者

丸山 満彦

パートナー, PwCコンサルティング合同会社

Email

上杉 謙二

ディレクター, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

本ページに関するお問い合わせ

関連サービス