アメリカ証券取引委員会(SEC)は、上場企業を対象にサイバーセキュリティ関連の新たな規則を採択した。
7月26日SECにより公表された内容として、「重大なサイバーセキュリティインシデントに遭遇した場合はこれを開示すること、およびサイバーセキュリティのリスク管理、戦略、ガバナンスに関する重要な情報を毎年開示することを登録企業に義務付ける規則を採択」とされており、企業が重大なサイバーセキュリティインシデントに遭遇した場合は4営業日以内にその事実を告知する義務が生じるというもの。
上場企業には、買収や役員の変更、資産取得や売却、破産などの事象の際に報告義務があるが、今回新たにサイバーインシデントにおける性質や影響範囲、時期といった詳細情報の開示が必要となる。
SECは新規則の採択背景として、過去に起こったロシアでのサプライチェーン・ハッキング事件を例に挙げ、情報開示が遅れたことで多くの組織において大規模な損害が発生したことから、規則改正により投資家の保護強化と企業側にも利益をもたらすとしている。
信用情報機関やセキュリティベンダーなどからは賛成の意見が多く挙がっている一方、「セキュリティ体制の過度な開示で企業がサイバー攻撃を受けやすくなる」と反対意見も挙がっている状況とのこと。
【参考URL】
企業がハッキングを受けたら「4日以内」に開示しなければならない新規則が制定される – GIGAZINE
https://gigazine.net/news/20230727-sec-cyberattacks-report-deadline/