アメリカのサイバーセキュリティ関連の規則（SECの動向）

最近は気候変動リスクへの対応が盛り上がっていますが、個人的には昨年度からSEC：U.S. Securities and Exchange Commission"（米国証券取引委員会）がサイバーインシデントの開示を要請することを検討等の記事が気になっていましたが、先日（2023年7月26日）、SECが公開企業に対してサイバーセキュリティリスク管理、戦略、ガバナンス、およびインシデントの開示に関する規則を採択していましたので、コメントしておきます。

Foreign Private Issuers（外国の民間発行体）であっても、この対象になるとのことで、日本企業も影響があります。ポイントは、中小企業であってもこの外国の民間発行体を顧客に持つサプライヤーは、顧客企業のサイバーセキュリティ要件に適合するために、上記開示に対応する必要があるということになります。

日本企業はAPT集団に囲まれていることから、サイバーインシデントの脅威も大きいと想定されるため、これら開示の重要性も相対的には高いものにはなると思慮しております。

元ネタはSEC.govです。

SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies
FOR IMMEDIATE RELEASE
2023-139

Washington D.C., July 26, 2023 —
The Securities and Exchange Commission today adopted rules requiring registrants to disclose material cybersecurity incidents they experience and to disclose on an annual basis material information regarding their cybersecurity risk management, strategy, and governance. The Commission also adopted rules requiring foreign private issuers to make comparable disclosures.

“Whether a company loses a factory in a fire — or millions of files in a cybersecurity incident — it may be material to investors,” said SEC Chair Gary Gensler. “Currently, many public companies provide cybersecurity disclosure to investors. I think companies and investors alike, however, would benefit if this disclosure were made in a more consistent, comparable, and decision-useful way. Through helping to ensure that companies disclose material cybersecurity information, today’s rules will benefit investors, companies, and the markets connecting them.”

The new rules will require registrants to disclose on the new Item 1.05 of Form 8-K any cybersecurity incident they determine to be material and to describe the material aspects of the incident's nature, scope, and timing, as well as its material impact or reasonably likely material impact on the registrant. An Item 1.05 Form 8-K will generally be due four business days after a registrant determines that a cybersecurity incident is material. The disclosure may be delayed if the United States Attorney General determines that immediate disclosure would pose a substantial risk to national security or public safety and notifies the Commission of such determination in writing.

The new rules also add Regulation S-K Item 106, which will require registrants to describe their processes, if any, for assessing, identifying, and managing material risks from cybersecurity threats, as well as the material effects or reasonably likely material effects of risks from cybersecurity threats and previous cybersecurity incidents. Item 106 will also require registrants to describe the board of directors’ oversight of risks from cybersecurity threats and management’s role and expertise in assessing and managing material risks from cybersecurity threats. These disclosures will be required in a registrant's annual report on Form 10-K.

The rules require comparable disclosures by foreign private issuers on Form 6-K for material cybersecurity incidents and on Form 20-F for cybersecurity risk management, strategy, and governance.

The final rules will become effective 30 days following publication of the adopting release in the Federal Register. The Form 10-K and Form 20-F disclosures will be due beginning with annual reports for fiscal years ending on or after December 15, 2023. The Form 8-K and Form 6-K disclosures will be due beginning the later of 90 days after the date of publication in the Federal Register or December 18, 2023. Smaller reporting companies will have an additional 180 days before they must begin providing the Form 8-K disclosure. With respect to compliance with the structured data requirements, all registrants must tag disclosures required under the final rules in Inline XBRL beginning one year after initial compliance with the related disclosure requirement.

https://www.sec.gov/news/press-release/2023-139

以下、Chat-GPTでの翻訳

ワシントンD.C.、2023年7月26日 —
証券取引委員会（SEC）は本日、登録対象者に対して、経験した重要なサイバーセキュリティインシデントを開示するよう規則を採択し、サイバーセキュリティリスク管理、戦略、およびガバナンスに関する重要な情報を年次報告書で開示するよう義務付ける規則も採択しました。また、外国の非公開発行者に対しても同様の開示を求める規則を採択しました。

SEC委員長のゲイリー・ゲンスラー氏は、「企業が火災で工場を失う場合でも、サイバーセキュリティインシデントで何百万ものファイルを失う場合でも、それは投資家にとって重要な情報かもしれません。」と述べています。「現在、多くの公開企業は投資家に対してサイバーセキュリティに関する開示を行っています。しかし、私はこの開示がより一貫性があり、比較可能で、意思決定に役立つ形で行われるなら、企業と投資家の双方に利益があると考えています。本日の規則により、企業が重要なサイバーセキュリティ情報を開示することが確保されることで、投資家、企業、および市場が相互に恩恵を受けるでしょう。」

新しい規則では、登録対象者は新しいForm 8-KのItem 1.05に、重要なサイバーセキュリティインシデントを開示し、インシデントの性質、範囲、およびタイミングに関する重要な側面、および登録対象者に対するインシデントの重要な影響または合理的に予測される重要な影響を記述することが求められます。Item 1.05のForm 8-Kは、一般的に登録対象者がサイバーセキュリティインシデントが重要であると判断した後、4営業日以内に提出する必要があります。ただし、アメリカ合衆国司法長官が直ちに開示することが国家安全保障または公共の安全に重大なリスクをもたらすと判断した場合は、開示を延期することができます。その場合は、その決定を書面で委員会に通知する必要があります。

新しい規則では、登録対象者がサイバーセキュリティ脅威による重要なリスクを評価、識別、管理するためのプロセス（あれば）およびサイバーセキュリティ脅威によるリスクの重要な影響または合理的に予測される重要な影響、および以前のサイバーセキュリティインシデントについて記述するためのRegulation S-K Item 106も追加されました。Item 106では、登録対象者はサイバーセキュリティ脅威からのリスクに対する取締役会の監督、および経営陣の役割と専門知識についても記述する必要があります。これらの開示は登録対象者の年次報告書Form 10-Kで求められます。

規則では、外国の非公開発行者に対しても、Form 6-Kで重要なサイバーセキュリティインシデントに関する開示、およびForm 20-Fでサイバーセキュリティリスク管理、戦略、およびガバナンスに関する開示を行うことが求められます。

最終規則は、採択リリースが連邦登録官報に掲載された後、30日後に効力を発揮します。Form 10-KおよびForm 20-Fの開示は、2023年12月15日以降に終了する会計年度の年次報告書から適用されるようになります。Form 8-KおよびForm 6-Kの開示は、連邦登録官報に掲載された日から90日後、または2023年12月18日以降から適用されるようになります。小規模報告企業はForm 8-Kの開示を開始するまでにさらに180日の猶予が与えられます。構造化データ要件に関する準拠については、全ての登録対象者は関連する開示要件への初回の準拠から1年後には最終規則で要求される開示をInline XBRLでタグ付けする必要があります。