SECサイバー規制は新たな強化計画を示唆する(2023年11-12月号)
ヒラリー・タットル[*]
今年12月には、米国証券取引委員会(SEC)が、上場企業に対して厳格な新しいサイバーセキュリティ報告義務を実施する予定である。同法では、公開企業に対して、組織の財政状態や業務に重大な影響を与える、いかなるサイバー事件も正式に開示すること、サイバーセキュリティリスクのリスクマネジメント、戦略、ガバナンスに関する広範な年次情報公開を義務付けている。
ソフトウエア企業ソーラーウィンズに対する最近の注目すべき訴訟と同様に、この要件は、企業のサイバーリスクマネジメントをより積極的に推進するSECの役割が表立っていることを強調している。それは、SECが公開企業に新たな規制リスクを導入し、組織とその取締役・役員の双方に法的リスクをもたらしつつあるからである。
インシデント開示規則
12月18日以降、SECは、公開企業に重要な影響が生じることが明確になった場合、4日以内にサイバーインシデントを正式に開示することが求められる。SECによれば、「新しい規則では、登録者は、様式8-Kの新項目1.05において、重要であると判断したあらゆるサイバーセキュリティインシデントを開示し、インシデントの性質、範囲およびタイミングの重要な側面、並びに登録者に与える重大な影響または合理的に起こり得る重大な影響を記載することが求められる」としている。この要件は、偶発的か意図的な攻撃であるかに関わらず、あらゆる重大な事件に適用される。
SECの新しい要件に関する議論の多くは、4日間の時間枠を焦点にしている。この比較的厳しい時間枠の実行可能性について懸念を呼んだ。しかし、要件の適用性を明確にするまでに2つのステップがあることに留意するべきで、それが実際にはその厳しさを若干緩和するかもしれない。第1に、企業はデータの損失、曝露、中断または停止があったことを検証することによって、事件が発生したかどうかを判断しなければならない。他の規制当局は、違反や攻撃を特定するために、適切な時間枠とは何かを検討してきたが、このSECの要件は捜査自体のタイミングについて規定していない。つまり、重要な影響が明確になると時計が動き始め、それが第2の将来に向けた複雑な評価プロセスとなる。
残念なことに、最終的に報告義務は組織にとって重要な課題であるが、規制当局の最終目標は、企業問題としてのサイバーリスクマネジメントに対する説明責任とガバナンスの期待をより強固なものにすると思われる。
SEC議長ゲイリー・ゲンスラーは指摘する。「現在、多くの公開企業が投資家にサイバーセキュリティの開示情報を提供している。しかし、この開示が一貫性をもって、比較可能で、意思決定に役立つ方法で行われれば、企業も投資家も同様に利益が得られる。企業が重要なサイバーセキュリティ情報を開示できるようにすることで、今日の規則は投資家や企業、そしてそれらをつなぐ市場に利益をもたらすだろう。」
サイバーリスクマネジメントとガバナンス
SECの新しい規則を巡って注目されていることの大半がインシデントの報告義務に向けられているが、大きな話題となっているのは、リスクマネジメントプロセス、取締役会メンバーのサイバーに関する専門知識、取締役会によるサイバーリスクのガバナンスに関する詳細な議論に関する、規制当局の新たな年次報告義務にある。IT、情報セキュリティ、法務、コンプライアンスの各機能に関するリスクの専門家とその同僚は、企業レベルでのサイバーセキュリティの脅威に対する組織の情報開示とサイバーセキュリティ脅威の管理を再検討し、評価・明確化し、開示する際、新しい大きな責任に直面するであろう。これらの開示は、2023年12月15日後の会計年度の年次10-K(または外国発行体の場合は20-F)報告書にとって必要な要素となる。
SECによると、「新しい規則には、規制S-K項目106を追加する。この規則では、サイバーセキュリティの脅威による重大なリスクを評価、特定、管理するためのプロセスや、サイバーセキュリティの脅威によるリスクの重大な影響あるいはそれに匹敵する重大な影響を登録者が記載することを求めている。また、第106項では、サイバーセキュリティの脅威によるリスクに対する取締役会の監視、およびサイバーセキュリティの脅威による重大なリスクの評価と管理における経営陣の役割と専門知識についても記載することを登録者に求めている。」
この新しい規則の半分では、暗黙裏に、企業がサイバーリスクマネジメント戦略とガバナンス・プロセスを持つ必要があることを意味しているが、実際には現実は常にそうであるというわけではない。サイバーリスクによる大打撃や、以前からの広範な規制要件から数多くの教訓が得られているのもかかわらず、またSECがその基準を明確に定めていないにもかかわらず、かなりの数の組織が依然として、厳しい審査に合格するであろう公式のサイバーリスクマネジメントプログラムを備えていないということはほぼ確実である。その結果、このことは、新たなSECの要件に起因して大きな負担となり、コンプライアンスを確保する必要のある組織にとって、より重い負担が必要となる可能性がある。
取締役会が適切なサイバー専門知識を持つことは、極めて厳しい人材プールから正規の取締役採用にむけて徐々に競合するようになる企業にとって、依然として重要な弱点となる。SECは取締役会の行動細目の中で、明確に定義されたサイバーの専門知識と監督責任をもつ特定の取締役を置くことを望んでいる。規制当局は以前、取締役のサイバーセキュリティに関する専門知識を、サイバーセキュリティに関する事前の業務、サイバーセキュリティに関する資格、学位、サイバーセキュリティに関する知識、スキル、その他の経歴として定義していた。
ウォール・ストリート・ジャーナル、EYおよび執行役調査会社スペンサー・スチュアート社のデータをもとに、CAPグループが実施してフォブス・テクノロジー・カウンセル社が公表した調査では、取締役会はサイバーリスクを効果的に管理するための専門知識を著しく欠いていることが判明し、その大多数でSECの要件をまったく満たさないといった格差が存在する主張した。フォーチュン100社のうち51%では、関連するサイバー経験をもつ取締役が存在している。フォーチュン200社と500社にまで対象を拡大すると、この数字はわずか9%にまで下がる。ラッセル3000社の企業のうち90%では、必要なサイバーの専門知識を持っている取締役が一人もいない。
取締役会に関して言えば、取締役会のサイバーリスクに対するガバナンス能力に関するデータは大きく変化しており、それらの要件を満たすために、企業が実際にどのように準備しているか、あるいは満たしていないかを正確にベンチマークすることは困難である。「2023年企業取締役アンケート」では、回答者は、取締役会メンバーがサイバー問題に自信を持って取り組み、「上層部から企業風土をより安全にする」として、取締役会のサイバー問題への関心が高まっていることを指摘した。回答者の半数が取締役にとってサイバーセキュリティが大きな課題として認識されているが、2022年の59%からは減少しており、まだ道半ばであると、「2023年企業取締役アンケート」は指摘する。本調査結果では、全体として取締役会がもっとサイバーに精通し、サイバーリスクへの懸念をより積極的なサイバーガバナンスへと徐々に変えていくこという肯定的な指標が提供された。
しかし、取締役会の業績評価に関する調査(および他の同様の多くの調査)では、回答者が取締役会のメンバーであることに留意することが重要である。他の利害関係者の間で実施された調査の多くは、取締役が真のサイバーガバナンスに関して理解している以上に、過度に自信を持っており、あまり積極的ではないということを明らかにしている。
調査対象となった取締役のうち87%が、経営陣が事前に読んだ資料やサイバーセキュリティに関するプレゼンテーションが効果的かつ適切であると考えていると回答した。それにもかかわらず、SECが関連あると確信している重要分野についての情報を受け取ったと答えた回答者は半数に過ぎず、その中には、インシデント対応計画のテスト結果(56%)、サイバーセキュリティプログラムの成熟度評価(53%)、サードパーティのサイバーセキュリティリスクへの配慮(50%)などが含まれていた。これは、改善が必要な重要な分野である。
しかしながら、実際には、経営陣からの報告は大幅に不足している可能性があり、この統計数値でさえ、取締役会のサイバーリスクに対する実際の可視性とガバナンスを過大評価しているかもしれない。「2023年企業取締役アンケート」では、世界中の4,000人近い企業、技術、セキュリティ担当幹部を対象に調査を行い、その回答者の23%しか、CEOと取締役会に対してサイバーリスクの勃発と軽減策を変えることに関しての洞察を提供していないことを明らかにした。
実際のサイバーリスクマネジメントプロセスとそれに関する監視について、デジタル・トラスト・インサイト社の報告書「経営幹部のプレイブック:イノベーションの震源地にセキュリティを」によれば、「最先端のセキュリティプログラムは興奮するもので、予算も増えているが、現実的には、セキュリティ改善の進捗は遅れている」。このレポートでは、主たる要点を、次のようにまとめている。「違反コストと高額な違反は増加し続けている。クラウド攻撃はサイバー上の最大の懸念事項であるが、約3分の1の組織は、クラウドサービスプロバイダの課題に対処してリスクマネジメント計画をもっていない。主要なサイバーセキュリティ分野における技術能力に『非常に満足している』ものは、わずかに半数だけである。30%以上の企業が、サイバー防衛の標準的な慣行に基づいた一貫した対応を取っていない」。
PwCよれば、少数の集団—179人の回答者—だけが良好な成績を収めており、その結果として、顕著な競争上および業務上の利益を経験している。同社は指摘する。「これらの上位5%(「信頼の執事」)が、他社が見過ごしている便益を受けている」。「これらの企業は、ほとんど情報漏洩を経験しておらず、これらの企業を襲った攻撃においてはそれほどコストがかかっていない。そこではセキュリティ・ソリューションを合理化したことで、リスクを管理することをとり簡便化している。そして、自身の生産性を高め成長を加速させるものと位置付け、自信を持って保護されていることを確信し、新しい技術を導入することで競争上で他社を凌駕している」。
多くのサードパーティの専門家によると、SECの新しい要件によって、より多くの組織がこのグループに入るようになっていて、個々の企業に大きな利益をもたらしている。デロイトが最近実施した調査によると、公開企業の幹部のうち64.8%は、新たな規則に対応するために自社のサイバーセキュリティプログラムを強化すると回答し、54.1%がサードパーティにも同様の措置をとるよう促すと回答した。
世界経済フォーラムによれば、「この新しい要件は、企業の経営トップがサイバーリスク問題を、どのようにとらえているか、世界中の投資家に示すシグナルとなる。これは、従来取締役の採用で伝統的に焦点を当ててきた、事業戦略、財務知識、リーダーシップスキルの習得と同じベースで、サイバーの専門知識を位置づけることを目的としている。報告されたテーマが企業に焦点を当てたものになる傾向があるため、サイバーに関する取締役会の専門知識に関する報告でも、最終的にサイバーセキュリティを事務管理部門の機能から将来のビジネスリーダーの中核的な能力へと変える可能性が高い。」。
法的リスクの増大
本当のリスクが、こうした変化をもたらしている。SECの開示規則は、企業のサイバーリスクマネジメントプログラム自体に特定の要件を要求するものではないが、開示によってもたらされる透明性は、競合企業やベストプラクティス企業と比較して、ガバナンスの失敗や欠点を暗黙のうちに浮き彫りするかもしれない。また、これは、規制上のリスクに加えて、企業およびその取締役や役員の法的脅威の増大に拍車をかける可能性がある。
過去数年間の株主代表訴訟の中で注目を浴びつつあるのは、サイバーガバナンス、サイバーイベントの重大な影響、および取締役会のサイバーに関する受託者責任についてである。新たな開示は、株主とSECの双方が、サイバー関連の失敗に対処するために10Kの開示を求めていることから、より法的な脅威に拍車をかける可能性がある。
法律事務所のモーガン・ルイスのパートナーでSEC執行局の元監督弁護士フレッド・ブロックはいう。「われわれは、SECがサイバーセキュリティ関連の捜査に積極的に取り組むことを期待している」。「去る10月1日に始まった会計年度にSECは、不法侵入を受けて注目を浴びた企業に対して、はじめてCISOを提訴した。また、SECは、ある全国的な弁護士事務所でのサイバー侵入に関する情報へのアクセスについても公に戦っている。SECは、データ侵害を受けた企業がこれらの情報漏洩に関する情報を正確に開示しているかどうかの調査を継続する準備ができていないのであれば、こうした資源を使わない可能性がある。」
実際、SECは、ソフトウエア会社のソーラーウィンズ社に対する罰金に関する最近の報道で、サイバー関連の取締りの強化に向けた新たな要件ができるまで待っているわけではないことを明らかにした。政府機関を含む約18,000人の顧客に影響を及ぼしたソーラーウィンズ社の事例は、これまで最も注目すべきソフトウェアサプライチェーン攻撃の1つであり、ハッカーはソーラーウィンズ社のオリオン・ソフトウェアに組み込んだマルウェアを介して、同社のクライアントのネットワークにアクセスした。広範囲に広がった攻撃が完全に明らかになった時点で、同社の株価は1カ月で35%下落した。SECの告発は、同社がネットワークの脆弱性を知っており、侵入を助長し、適切な管理策を講じていなかったと主張しており、この攻撃自体に関するものではない。さらに、当局は、同社のサイバーリスク体制や攻撃の程度について、投資家に虚偽の誤解を招くような声明を提出したと断言している。
注目すべきは、SECが同社だけでなく、CISOのティモシー・ブラウン個人も訴えたことである。今回の起訴は、この新しい規則に基づく強制措置ではなく、現時点での活動は要件に先行しており、SECの主張には、不適切なサイバーセキュリティ準備態勢だけでなく、投資家への情報開示における不正な虚偽表示への積極的な関与が含まれている。
しかし、SECが情報開示や具体的なガバナンス活動に注目し、企業の財務や評判に重大な影響を与えるサイバーセキュリティ障害に対して個人的に責任を負う執行役を訴求するという点に、共通した意図がある。企業とその取締役・執行役は、SECがサイバーリスクの管理とガバナンスに対して正面から焦点を当てていることを前提に、訴訟や新たな報告義務を検討すべきである。
トピックス
サイバー、規制、コンプライアンス、新興リスク、法的リスク、規制、リスクマネジメント、セキュリティ
注意事項:本翻訳は“SEC Cyber Rules Signal New Enforcement Plans ”, Risk Management, November-December 2023, pp.4-7 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
[*]ヒラリー・タットルは本誌編集長である。