SEC の最終規則：サイバーセキュリティのリスク管理、戦略、ガバナンス、およびインシデントの開示を義務化

原文のブログはこちらからご覧いただけます。

サイバー攻撃は上場企業の価値に重大な影響を与え、投資家の利益を損なう可能性があります。これらの組織は今や、サイバーセキュリティに関する報告の一貫性向上を目的とする、米国証券取引委員会（SEC）の新しい規則にも準拠することが必要となりました。

このプロセスは、2022 年に SEC がサイバーセキュリティのリスク管理の慣行、戦略、ガバナンス、および重大なインシデントに関する開示について標準化するための、新しい規則と修正を提案した際に始まりました。これらの変更は、1934 年証券取引所法の報告要件の対象となる上場企業に影響を与えます。規則は最終化され、2023 年 8 月 29 日に発効しました。上場企業は現在、2023 年 12 月 15 日以降に終了する会計年度の年次報告書から、この規則に準拠する必要があります。

サイバーセキュリティの報告に関する SEC の最終規則

SEC が採用した規則では、ほとんどの上場企業に対し、経験した重大なサイバーセキュリティインシデントの開示を義務付けています。さらに企業は、サイバーセキュリティのリスク管理、戦略、およびガバナンスに関する重要な情報について、年次での開示が義務付けられます。SEC はまた、外国民間発行体、すなわち資金調達や自社証券の取引拠点の設立を望む外国企業に対し、同等の開示を義務付ける規則を採択しました。

規則は主に以下の 2 カテゴリに分類

1. サイバーセキュリティのリスク管理、戦略、およびガバナンスに関する年次での開示：上場企業は、サイバーセキュリティのリスク管理、戦略、およびガバナンスに関する情報を、年次報告書（Form 10-K） で開示する必要があります。

これには以下の項目を含める必要があります。

• 企業のサイバーセキュリティのリスク管理ポリシーと手順
• サイバーセキュリティのリスクを監督する取締役会の役割
• サイバーセキュリティの脅威がもたらす重大なリスクの評価と管理における経営陣の役割
• 企業のサイバーセキュリティ戦略

2. 重大なサイバーセキュリティインシデントの開示：上場企業は、インシデントが「重大」であると判断してから 4 営業日以内に、Form 8-K の新しい項目 1.05 に基づき、重大なサイバーセキュリティインシデントを開示する必要があります。

この開示には、インシデントの性質、範囲、タイミング、および企業に対する重大な影響（または重大な影響である蓋然性が高い影響）に関する情報を含める必要があります。米国司法長官がそのような開示が国家安全保障または公共の安全に重大なリスクをもたらすと判断した場合、組織は開示を遅らせることができます。また当該の組織は、最初の報告時には入手できなかった、または決定されていなかった可能性のある追加の詳細によって、開示内容を修正する必要があります。

その他の開示要件

SEC の規則は、上場企業にサイバーセキュリティ情報をインライン XBRL （eXtensible Business Reporting Language）で開示することも義務付けています。この構造化データ言語により、金融アナリストや投資家は、企業のサイバーセキュリティの開示をより容易に分析および比較できます。インライン XBRL は、人間と機械の両方が読み取ることができます。

SEC の使命の中核となるのは、公正で秩序ある効率的な市場を維持しながら投資家を保護することです。これらの新しい開示規則はさらに、上場企業が直面するサイバーセキュリティリスクについてより詳細な情報を提供し、企業がそれらのリスクをどのように管理しているかを明らかにすることで、投資家が情報に基づいた投資決定を下すために役立ちます。この規則はまた、上場企業がサイバーセキュリティに投資し、自社のサイバーセキュリティ体制を向上させる動機づけともなります。

上場企業は、この新しい規則に確実に準拠するため、直ちに行動する必要があります。積極的に行動し、透明性を高めることで、組織がサイバーセキュリティのリスク、戦略、およびガバナンスの問題に対処するために適切な措置を講じているという投資家の信頼も築くことができます。

BlackBerry によるサポート

BlackBerry は、組織が SEC のサイバーセキュリティ義務に準拠するために必要な、幅広いサービスとソリューションを提供します。最近の Forrester社による Total Economic Impact（TEI：総経済効果）調査によると、BlackBerry の CylanceGUARD^® MDR （マネージド検知/対処）サービスにより、ROI が 293% 向上、社内のセキュリティ運用の必要性が 90% 低減しました。

また BlackBerry のCylanceENDPOINT^™ は、Gartner^® Peer Insights^™ エンドポイント保護プラットフォーム（EPP）の 2023 年「Customers’ Choice」にお客様によって選出され、世界中の大企業および中規模企業のお客様が BlackBerry^® の AI ベースのセキュリティプラットフォームを推奨しています。BlackBerry は、重大な侵害を未然に防ぎ、ひいては好ましからざる情報開示の回避に役立ちます。それを可能にするのは、サイバーレジリエンスの向上を可能にする、堅牢なサイバーセキュリティプログラム管理の提供です。

BlackBerry と提携することにより、お客様の組織は、投資家や資本市場に対して信頼を優先していることを示せます。この信頼とは、投資の保護に役立つ意思決定を下すために、投資家がお客様の組織に寄せる信頼です。また、パートナー、顧客、消費者が、お客様の組織に対し、健全なサイバーセキュリティのリスク管理、戦略、およびガバナンスプログラムを通じ、貴重な企業リソース、知的財産、およびデータ（規制対象の財務および医療データを含む）を保護することによって寄せる信頼なのです。

関連記事

• お客様の声: BlackBerry、Gartner^® Peer Insights^™ のエンドポイント保護プラットフォーム部門で 2023 年の「Customers' Choice」に選出
• Emergency Directive Reveals It’s Time to Replace VPNs
• CylanceENDPOINT Prevents Pool Party Process Injection

• 製品のお問い合わせ：https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
  
• 攻撃や感染した事故対応はこちらまで　サイバーセキュリティチームによるコンサルティングサービス: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
  
• AIを使ったランサムウェア対策: https://www.blackberry.com/ja/jp/solutions/malware
  
• BlackBerry Japan：https://www.blackberry.com/ja/jp
  
• Facebook（日本語）: https://www.facebook.com/watch/BlackBerryJPsec/
  
• Twitter（日本語）: https://twitter.com/BlackBerryJPsec
  
• LinkedIn: https://www.linkedin.com/company/blackberry/
  
• YouTube（日本語）: https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos