米SEC、重大なサイバーセキュリティインシデントの迅速な開示を義務付け

米証券取引委員会 (SEC) は 7 月 26 日、企業に重大なサイバーセキュリティインシデントを投資家の投資判断に役立つような形で開示するよう義務付ける新ルールを採択した(プレスリリース、The Verge の記事)。

投資家にとって、投資先がサイバーセキュリティインシデントで数百万件のファイルを失うことは火事で工場を失うのと同様に重大であり、既に多くの公開会社は投資家に向けてサイバーセキュリティ関連の開示を行っているが、より一貫して比較可能であり、投資判断に役立つような形で開示すれば、企業も投資家も利益を得られるとのこと。

具体的には、企業が重大なサイバーインシデントと判断してから 4 営業日以内に Form 8-K 報告書の新アイテム 1.05 として報告が義務付けられる。ただし、米司法長官が即時開示を国家安全保障や公共安全へのリスクが高いと判断し、書面で SEC に通知した場合は開示を延期する可能性もある。

また、サイバーセキュリティ対策などの説明を義務付けるアイテム 106 が Regulation S-K 報告要件に追加され、Form 10-K 報告書での年次報告への記載も必要になる。国外企業でも同等の開示が Form 6-K と Form 20-F でそれぞれ義務付けられるとのことだ。　

スラドのコメントを読む | セキュリティセクション | ビジネス | セキュリティ

　関連ストーリー：
ニューヨーク証券取引所、Twitterの上場廃止計画を米証券取引委員会に報告 2022年10月29日
米連邦地裁判事、証券取引委員会との裁判に関する Tesla 側の要請を却下 2022年02月28日
証券詐欺で訴追された App Annie、1,000 万ドルの罰金支払いで米証券取引委員会と合意 2021年09月18日