SECとサイバーセキュリティ：企業が知らなければいけないこと

背景

2011年10月、SECの企業財務局（Division of Corporation Finance）は、サイバーセキュリティリスクやインシデントの開示義務に関するガイダンスを発行しました。これまで、サイバーセキュリティリスクやインシデントについて明言したものはなかったものの、企業はそのようなリスクやインシデントの情報開示を今後は義務付けられる可能性が出てきました。新しいガイダンスが発行されてから、多くの企業がサイバーセキュリティに関する情報をRisk Factorsのフォーマットに追加記載するようになっています。

資本市場全体およびあらゆる業界で事業を営む企業（SECによって規制されている上場企業を含む）が直面しているサイバーリスクや脅威に応じるため、SECは2018年2月21日、解釈ガイドラインを公表しました。今日の企業は、業務を遂行する中で、または顧客、ビジネスパートナーおよびその他の関係者と関わるにあたり、デジタルテクノロジーに頼ることが多くなってきています。US- CERT（United States Computer Emergency Readiness Team；米国情報セキュリティ対策組織）は、サイバーセキュリティを「情報通信システムおよびその中に含まれる情報が損傷、不正使用、改変、または悪用されるのを保護・防御する、活動、プロセス、能力あるいは状態」と定義しています。

かかるガイダンスが適用される対象者

• 上場企業

かかるガイダンスが有効になる日

• 2018年2月26日

サイバーセキュリティリスクの開示に関するSECの新しいガイダンスの内容

• 効果的な開示管理と手続き：上場企業は、サイバーセキュリティを含む重要な出来事を正確かつ適時に開示できるよう、適切で効果的な開示管理方法とその手続きを確立し、維持することが求められます。
  • インシデントの概略（セキュリティを犠牲にしない）とビジネス活動への影響
  • 発生する費用
  • （賠償）請求によって生じる保険給付金と損害の可能性
  • 製品保証債務と訴訟費用、および前受収益の評価（見積り）額
• 投資家へのタイムリーな通知：上場企業は、情報漏洩を含む重大なサイバーセキュリティリスクやインシデントについて、適時に投資家に通知する必要があります。
• インサイダー取引に関する考慮事項：取締役、役員およびその他の会社関係者は、重大な未公開情報（脆弱性や情報漏洩等、重大なサイバーセキュリティリスクやインシデントに関する知識を含む）を保有する
  に上場企業の証券を取引してはいけません。

かかる情報を開示する場所

• Form 10-KおよびForm 10-Q
  • Description of the business（事業の説明）
  • Risk factors（リスク要因）
  • Management’s discussion and analysis（経営陣の議論と分析）
  • Legal proceedings（法的手続）
  • Financial statement disclosures（財務諸表の開示）
• Schedule 14A - 取締役会のリスク監理- item 7
• Form 8-KまたはForm 6-K - サイバーセキュリティインシデントの即時報告

SECが追加のガイダンスを提供する理由

• サイバーセキュリティインシデントおよびそれによって生じるリスクは、会社の財務諸表に影響を及ぼすだけでなく、次のような結果をもたらす可能性があります。
  • 調査、情報漏洩についての通知、是正および訴訟に関連する費用（法的措置およびその他の専門サービス費用を含む）。
  • 収益の喪失、顧客へのインセンティブの支払い、顧客の信頼喪失によって生じる損害
  • 保証、契約違反、商品の回収/交換、取引先の補償、および保険料の引き上げに関するクレーム
  • 将来のキャッシュフローの減少：知的資産、無形資産、またはその他の資産の減少または資金調達コストの増加
• 会社のサイバーセキュリティリスク管理プログラムやサイバーセキュリティ問題の管理に対する取締役会の取り組みについての情報を開示することにより、取締役会がそのリスク監理責任を果たしているかを投資家が判断できるようになります。
• 企業のサイバーセキュリティリスクやインシデントに関する情報は、重大な未公開情報となる可能性があり、このような重大な未公開情報を保有している間に、取締役、役員およびその他の会社関係者が信任義務に反して会社の証券を取引した場合、不正行為防止規定に違反します。

SECガイダンスを遵守するには

• サイバーセキュリティリスクが会社および会社の事業、財務状況、ならびに営業成績に及ぼす可能性のある影響を識別する適切な方法、ならびに当該リスクおよびインシデントの潜在的な重大性を判断するプロトコルを提供する開示制御および手続きを実施。
• サイバーセキュリティリスクやインシデント、またはその結果生じる逸失利益、訴訟、会社の評判の低下等を投資家に通知するために必要な全ての措置の実施。
• サイバーセキュリティに関連する総合的な方針および手続きを採用し、その整合性（開示制御および手続きはサイバーセキュリティ開示に関連するため、これらの充足性を含む）を定期的に評価。
• 会社の倫理規範やインサイダー取引方針が、サイバーセキュリティリスクやインシデントに関連する未公開情報を利用した証券の取引を規制できているかどうかを検討

取るべき行動

上場企業の役員および取締役会は、証券の取引に対する規制をはじめとする開示管理方法およびその手続きについて再考することが求められています。サイバーセキュリティのガイダンスについての知識を深め、かかる新しいガイダンスが貴社のビジネスにどのように影響を与えるかについてさらに理解を深めたい場合は、当社までお気軽にご連絡ください。