米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択
こんにちは、丸山満彦です。
このブログでも紹介しましたが、、、昨年 (2022.03.09) に公開草案が公表され、意見募集がおこなわれていた、上場企業のサイバーセキュリティに関連するリスク開示について、最終規則になりましたね。。。
投資家に影響を及ぼす内容については、従来から臨時報告書 (Form 8-K, Form 6-K) や年次報告書 (Form 10-k, Form 20-F) に開示することが求められていましたから、従前から開示が行われることにはなっていたわけですが、記載内容やタイミング等についてのルールを明確にすることにより、比較可能性を高めようという考えですね。。。
サイバーセキュリティ事故等によるリスクが高まっていることをうけての話なので、米国に限らず、、、ということで、日本での検討も必要と思いますね。(というか、比較可能性を高めるという話なので、記載内容についての論点だけだから、米国と同じようなルールにすればよいのでは???と思ったりもしますけどね。。。どうでしょう。金融庁さん?)
こんな感じですけど...
- 新しいForm 8-K Item 1.05では、登録者は、重要であると判断したサイバーセキュリティインシデントを開示し、インシデントの性質、範囲、タイミング、および財務状況や経営成績を含む登録者に対するインシデントの重要な影響または合理的に起こりうる重要な影響を重要な側面から説明することが求められる。
- 登録者は、インシデントの発見後、不合理な遅延なくインシデントの重要性を判断し、インシデントが重要であると判断された場合、その判断から通常4営業日以内に Item 1.05 Form 8-Kを提出しなければならない。米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面で委員会に通知した場合は、開示を延期することができる。司法長官がさらなる遅延が必要であると示した場合、委員会は遅延の追加要請を検討し、可能な免除命令によってそのような救済を認めることができる。
- 新規則 S-K第106号は、サイバーセキュリティの脅威による重大なリスクをアセスメント、識別、マネジメントするためのプロセスがある場合はそのプロセスを説明すること、また、過去のサイバーセキュリティインシデントの結果など、サイバーセキュリティの脅威によるリスクが登録者に重大な影響を及ぼしたか、または及ぼす可能性があるかどうかを説明することを登録者に義務付ける。Item 106はまた、サイバーセキュリティの脅威によるリスクに対する取締役会の監督、およびサイバーセキュリティの脅威による重大なリスクの評価と管理におけるマネジメントの役割と専門知識について説明するよう登録者に要求する。
- Form 6-Kは、外国の非公開発行体が外国の司法管轄区において公表した、または公表が要求された、あるいはその他の方法で開示した重要なサイバーセキュリティインシデントに関する情報を、証券取引所または証券保有者に提供することを要求するために修正される。Form 20-Fは、外国私募発行体に対し、新しいレギュレーションS-Kの Item 106で要求されているのと同等の定期的な開示を行うことを要求するよう修正される。
● U.S. Securities Exchange Commission: SEC
| SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies | SEC、上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択 |
| FOR IMMEDIATE RELEASE 2023-139 | 即時発行 2023-139 |
| Washington D.C., July 26, 2023 — | ワシントンD.C.、2023年7月26日 |
| The Securities and Exchange Commission today adopted rules requiring registrants to disclose material cybersecurity incidents they experience and to disclose on an annual basis material information regarding their cybersecurity risk management, strategy, and governance. The Commission also adopted rules requiring foreign private issuers to make comparable disclosures. | 米国証券取引委員会(SEC)は本日、サイバーセキュリティに関する重大なインシデントを経験した場合、それを開示し、サイバーセキュリティのリスクマネジメント戦略、ガバナンスに関する重要な情報を年次で開示することを登録企業に義務付ける規則を採択した。同委員会はまた、外国の非公開発行体にも同等の開示を義務付ける規則も採択した。 |
| “Whether a company loses a factory in a fire — or millions of files in a cybersecurity incident — it may be material to investors,” said SEC Chair Gary Gensler. “Currently, many public companies provide cybersecurity disclosure to investors. I think companies and investors alike, however, would benefit if this disclosure were made in a more consistent, comparable, and decision-useful way. Through helping to ensure that companies disclose material cybersecurity information, today’s rules will benefit investors, companies, and the markets connecting them.” | SECのゲーリー・ゲンスラー委員長は、次のように述べた。「企業が火事で工場を失おうが、サイバーセキュリティ・インシデントで数百万件のファイルを失おうが、それは投資家にとって重要なことかもしれない。現在、多くの上場企業がサイバーセキュリティに関する開示を投資家に提供している。しかし、この開示がより一貫性があり、比較可能で、意思決定に有用な方法で行われれば、企業も投資家も恩恵を受けると思う。企業がサイバーセキュリティに関する重要な情報を確実に開示することを支援することで、本日の規則は投資家、企業、そしてそれらをつなぐ市場に利益をもたらすだろう。」 |
| The new rules will require registrants to disclose on the new Item 1.05 of Form 8-K any cybersecurity incident they determine to be material and to describe the material aspects of the incident's nature, scope, and timing, as well as its material impact or reasonably likely material impact on the registrant. An Item 1.05 Form 8-K will generally be due four business days after a registrant determines that a cybersecurity incident is material. The disclosure may be delayed if the United States Attorney General determines that immediate disclosure would pose a substantial risk to national security or public safety and notifies the Commission of such determination in writing. | 新規則により、登録企業は、重要であると判断したサイバーセキュリティインシデントをForm 8-Kの新しいItem1.05に開示し、インシデントの性質、範囲、時期、および登録企業に対する重要な影響または合理的に起こりうる重要な影響の重要な側面を説明することが義務付けられる。Item1.05 Form 8-Kは通常、サイバーセキュリティインシデントが重要であると登録者が判断してから4営業日後に提出される。米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面で委員会に通知した場合は、開示を延期することができる。 |
| The new rules also add Regulation S-K Item 106, which will require registrants to describe their processes, if any, for assessing, identifying, and managing material risks from cybersecurity threats, as well as the material effects or reasonably likely material effects of risks from cybersecurity threats and previous cybersecurity incidents. Item 106 will also require registrants to describe the board of directors’ oversight of risks from cybersecurity threats and management’s role and expertise in assessing and managing material risks from cybersecurity threats. These disclosures will be required in a registrant's annual report on Form 10-K. | この新しい規則はまた、Regulation S-K Item 106を追加し、サイバーセキュリティの脅威による重大なリスク、サイバーセキュリティの脅威および過去のサイバーセキュリティインシデントによるリスクの重大な影響または合理的に起こりうる重大な影響を評価、特定、管理するためのプロセスがある場合は、そのプロセスを説明することを登録者に義務付ける。また、Item 106では、サイバーセキュリティの脅威によるリスクに対する取締役会の監督、サイバーセキュリティの脅威による重大なリスクの評価と管理におけるマネジメントの役割と専門知識についても説明することが求められる。これらの開示は、登録者の年次報告書(Form 10-K)において要求される。 |
| The rules require comparable disclosures by foreign private issuers on Form 6-K for material cybersecurity incidents and on Form 20-F for cybersecurity risk management, strategy, and governance. | 同規則は、外国私募発行体に対して、重要なサイバーセキュリティインシデントについてはForm 6-Kで、サイバーセキュリティリスクマネジメント、戦略、ガバナンスについてはForm 20-Fで、同等の開示を要求している。 |
| The final rules will become effective 30 days following publication of the adopting release in the Federal Register. The Form 10-K and Form 20-F disclosures will be due beginning with annual reports for fiscal years ending on or after December 15, 2023. The Form 8-K and Form 6-K disclosures will be due beginning the later of 90 days after the date of publication in the Federal Register or December 18, 2023. Smaller reporting companies will have an additional 180 days before they must begin providing the Form 8-K disclosure. With respect to compliance with the structured data requirements, all registrants must tag disclosures required under the final rules in Inline XBRL beginning one year after initial compliance with the related disclosure requirement. | 最終規則は、連邦官報に採択リリースが掲載されてから30日後に発効する。Form 10-KおよびForm 20-Fの開示は、2023年12月15日以降に終了する会計年度の年次報告書から開始される。Form 8-KおよびForm 6-Kの開示は、連邦官報に掲載された日から90日後、または2023年12月18日のいずれか遅い日から開始される。小規模報告会社は、Form 8-K開示のプロバイダを開始するまでにさらに180日の猶予が与えられる。構造化データ要求事項への準拠に関しては、すべての登録会社は、関連する開示要求事項への最初の準拠から1年後に、最終規則に基づき要求される開示をインラインXBRLでタグ付けしなければならない。 |
ファクトシート
・[PDF] Public Company Cybersecurity Disclosures; Final Rules
| FACT SHEET Public Company Cybersecurity Disclosures; Final Rules | ファクトシート 公開企業のサイバーセキュリティ開示、最終規則 |
| The Securities and Exchange Commission adopted final rules requiring disclosure of material cybersecurity incidents on Form 8-K and periodic disclosure of a registrant’s cybersecurity risk management, strategy, and governance in annual reports. | 米国証券取引委員会は、重要なサイバーセキュリティインシデントのForm 8-Kでの開示と、年次報告書における登録企業のサイバーセキュリティリスクマネジメント、戦略、ガバナンスの定期的な開示を義務付ける最終規則を採択した。 |
| Background | 背景 |
| In March 2022, the Commission proposed new rules, rule amendments, and form amendments to enhance and standardize disclosures regarding cybersecurity risk management, strategy, governance, and material cybersecurity incidents by public companies that are subject to the reporting requirements of the Securities Exchange Act of 1934. The Commission observed that cybersecurity threats and incidents pose an ongoing and escalating risk to public companies, investors, and market participants. It noted that cybersecurity risks have increased alongside the digitalization of registrants’ operations, the growth of remote work, the ability of criminals to monetize cybersecurity incidents, the use of digital payments, and the increasing reliance on third party service providers for information technology services, including cloud computing technology. The Commission also observed that the cost to companies and their investors of cybersecurity incidents is rising and doing so at an increasing rate. All of these trends underscored the need for improved disclosure | 2022年3月、委員会は、1934年証券取引法の報告義務の対象となる公開企業によるサイバーセキュリティのリスクマネジメント、戦略、ガバナンス、重要なサイバーセキュリティインシデントに関する開示を強化し標準化するための新規則、規則改正、書式改正を提案した。委員会は、サイバーセキュリティの脅威やインシデントが、公開企業、投資家、市場参加者に継続的かつ深刻化するリスクをもたらしていると指摘した。同委員会は、登録企業の業務のデジタル化、リモートワークの増加、サイバーセキュリティ・インシデントを収益化する犯罪者の能力、デジタル決済の使用、クラウドコンピューティング技術を含む情報技術サービスにおけるサードパーティ・サービス・プロバイダーへの依存の高まりに伴い、サイバーセキュリティ・リスクが増大していると指摘した。委員会はまた、サイバーセキュリティのインシデントが企業やその投資家に与えるコストは増加傾向にあり、その割合も増加していると指摘した。これらの傾向はすべて、情報開示の改善の必要性を強調している。 |
| The proposal followed on interpretive guidance issued by Commission staff in 2011 and by the Commission in 2018 on the application of existing disclosure requirements to cybersecurity risk and incidents. Although registrants’ disclosures of material cybersecurity incidents and cybersecurity risk management and governance have improved since the 2011 and 2018 guidance, disclosure practices are inconsistent, necessitating new rules. The proposal was intended to result in consistent, comparable, and decision-useful disclosures that would allow investors to evaluate registrants’ exposure to material cybersecurity risks and incidents as well as registrants’ ability to manage and mitigate those risks. | この提案は、2011年に委員会のスタッフが発表し、2018年に委員会がサイバーセキュリティのリスクとインシデントに対する既存の開示要件の適用について発表した解釈指針を踏襲したものである。2011年と2018年のガイダンス以降、登録者による重要なサイバーセキュリティインシデントとサイバーセキュリティリスクマネジメントおよびガバナンスの開示は改善されたが、開示実務には一貫性がないため、新たな規則が必要となった。この提案は、投資家が登録者の重要なサイバーセキュリティリスクとインシデントへのエクスポージャー、およびそれらのリスクを管理・軽減する登録者の能力を評価できるように、一貫性があり、比較可能で、意思決定に有用な開示をもたらすことを意図している。 |
| What’s Required | 要求事項 |
| New Form 8-K Item 1.05 will require registrants to disclose any cybersecurity incident they determine to be material and describe the material aspects of the nature, scope, and timing of the incident, as well as the material impact or reasonably likely material impact of the incident on the registrant, including its financial condition and results of operations. | 新しいForm 8-K Item 1.05では、登録者は、重要であると判断したサイバーセキュリティインシデントを開示し、インシデントの性質、範囲、タイミング、および財務状況や経営成績を含む登録者に対するインシデントの重要な影響または合理的に起こりうる重要な影響を重要な側面から説明することが求められる。 |
| Registrants must determine the materiality of an incident without unreasonable delay following discovery and, if the incident is determined material, file an Item 1.05 Form 8-K generally within four business days of such determination. The disclosure may be delayed if the United States Attorney General determines that immediate disclosure would pose a substantial risk to national security or public safety and notifies the Commission of such determination in writing. If the Attorney General indicates that further delay is necessary, the Commission will consider additional requests for delay and may grant such relief through possible exemptive orders. | 登録者は、インシデントの発見後、不合理な遅延なくインシデントの重要性を判断し、インシデントが重要であると判断された場合、その判断から通常4営業日以内に Item 1.05 Form 8-Kを提出しなければならない。米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面で委員会に通知した場合は、開示を延期することができる。司法長官がさらなる遅延が必要であると示した場合、委員会は遅延の追加要請を検討し、可能な免除命令によってそのような救済を認めることができる。 |
| New Regulation S-K Item 106 will require registrants to describe their processes, if any, for assessing, identifying, and managing material risks from cybersecurity threats, as well as whether any risks from cybersecurity threats, including as a result of any previous cybersecurity incidents, have materially affected or are reasonably likely to materially affect the registrant. Item 106 will also require registrants to describe the board of directors’ oversight of risks from cybersecurity threats and management’s role and expertise in assessing and managing material risks from cybersecurity threats. | 新しいRegulation S-K第106号は、サイバーセキュリティの脅威による重大なリスクをアセスメント、識別、マネジメントするためのプロセスがある場合はそのプロセスを説明すること、また、過去のサイバーセキュリティインシデントの結果など、サイバーセキュリティの脅威によるリスクが登録者に重大な影響を及ぼしたか、または及ぼす可能性があるかどうかを説明することを登録者に義務付ける。Item 106はまた、サイバーセキュリティの脅威によるリスクに対する取締役会の監督、およびサイバーセキュリティの脅威による重大なリスクの評価と管理におけるマネジメントの役割と専門知識について説明するよう登録者に要求する。 |
| Form 6-K will be amended to require foreign private issuers to furnish information on material cybersecurity incidents that they make or are required to make public or otherwise disclose in a foreign jurisdiction to any stock exchange or to security holders. Form 20-F will be amended to require that foreign private issuers make periodic disclosure comparable to that required in new Regulation S-K Item 106. | Form 6-Kは、外国の非公開発行体が外国の司法管轄区において公表した、または公表が要求された、あるいはその他の方法で開示した重要なサイバーセキュリティインシデントに関する情報を、証券取引所または証券保有者に提供することを要求するために修正される。Form 20-Fは、外国私募発行体に対し、新しいRegulation S-Kの Item 106で要求されているのと同等の定期的な開示を行うことを要求するよう修正される。 |
| What’s Next | 今後の予定 |
| The final rules will become effective 30 days following publication of the adopting release in the Federal Register. With respect to Regulation S-K Item 106 and the comparable requirements in Form 20-F, all registrants must provide such disclosures beginning with annual reports for fiscal years ending on or after December 15, 2023. With respect to compliance with the incident disclosure requirements in Form 8-K Item 1.05 and in Form 6- K, all registrants other than smaller reporting companies must begin complying on the later of 90 days after the date of publication in the Federal Register or December 18, 2023. Smaller reporting companies will have an additional 180 days and must begin complying with Form 8-K Item 1.05 on the later of 270 days from the effective date of the rules or June 15, 2024. With respect to compliance with the structured data requirements, all registrants must tag disclosures required under the final rules in Inline XBRL beginning one year after initial compliance with the related disclosure requirement. | 最終規則は、連邦官報に採択リリースが掲載されてから30日後に発効する。レギュレーションS-K Item106およびフォーム20-Fにおける同等の要求事項に関しては、すべての登録者は、2023年12月15日以降に終了する会計年度の年次報告書からそのような開示を提供しなければならない。Form 8-K Item 1.05およびForm 6-Kにおけるインシデント開示要件の遵守に関しては、小規模報告会社を除くすべての登録会社は、連邦官報公告日から90日後または2023年12月18日のいずれか遅い日から遵守を開始しなければならない。小規模報告会社にはさらに180日の猶予が与えられ、規則発効日から270日または2024年6月15日のいずれか遅い日にForm 8-K Item 1.05への準拠を開始しなければならない。構造化データ要件への準拠に関しては、すべての登録企業は、関連する開示要件に最初に準拠した1年後から、最終規則に基づき要求される開示をインラインXBRLでタグ付けしなければならない。 |
最終規則
・[DOCX] 仮訳
米国商工会議所は情報漏洩の懸念を表明していますね。。。
・2023.07.27 U.S. Chamber Raises Concern with Impact, Overreach of New SEC Cybersecurity Rule
| U.S. Chamber Raises Concern with Impact, Overreach of New SEC Cybersecurity Rule | 米商工会議所、SECサイバーセキュリティ新規則の影響と行き過ぎに懸念を表明 |
| WASHINGTON, D.C. – Christopher Roberti, U.S. Chamber senior vice president for Cyber, Space, and National Security Policy, issued the following statement today regarding the Securities and Exchange Commission adopting rules on cybersecurity risk management, strategy, governance, and incident disclosure by public companies. | ワシントンD.C.-米国商工会議所のクリストファー・ロベリ上級副会頭(サイバー・宇宙・国家安全保障政策担当)は本日、証券取引委員会が公開企業によるサイバーセキュリティのリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択したことについて、以下の声明を発表した。 |
| “The Cyber Incident Reporting for Critical Infrastructure Act of 2022 made it clear that cyber incident reporting to government should occur confidentially and in a protected manner. Yesterday, however, the Securities and Exchange Commission (SEC) finalized a rule that sharply diverges from that mandate and the President’s National Cybersecurity Strategy, jeopardizing a needed confidential reporting strategy and harming cyber incident victims before they can remediate incidents. | 「2022年重要インフラ向けサイバーインシデント報告法は、政府へのサイバーインシデント報告は秘密裏に、かつ保護された形で行われるべきであると明確にした。しかし昨日、証券取引委員会(SEC)は、この義務や大統領の国家サイバーセキュリティ戦略から大きく乖離する規則を最終決定し、必要とされる秘密報告戦略を危うくし、インシデントを改善する前にサイバーインシデント被害者に損害を与えることになる。 |
| “The U.S. Chamber has long advocated for a cohesive, aligned, and protected regulatory framework for cyber risk management and continues to have grave concerns about the potential impact of the rule as finalized by the SEC. The Chamber will continue to carefully evaluate the impact of this rule and our options going forward." | 「米国商工会議所は、サイバーリスクマネジメントのためのまとまりのある、整合のとれた、保護された規制の枠組みを長年提唱してきたが、SECが最終決定した規則の潜在的な影響について重大な懸念を持ち続けている。米国商工会議所は、この規則の影響と今後の選択肢を慎重に評価し続ける。 |
● まるちゃんの情報セキュリティ気まぐれ日記
これが、案をだしている段階...
・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案
その他...
・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね
・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者
Comments