米国証券取引委員会 (SEC) のサイバーセキュリティ開示最終規則: 取締役会の視点
最终规则が课す重要な开示要件―取缔役会による厳格な监视强化が急务に
最终规则が课す重要な开示要件―取缔役会による厳格な监视强化が急务に
サイバーセキュリティインシデントに重要性がある場合、Form 8-Kでの報告が必須
上场公司は今后、「サイバーセキュリティインシデント」を発见した际、インシデントの発见时点からではなく、重大であると公司が判断してから4営业日以内に报告することが义务づけられます。さらに重要性の判断も、インシデントの発见后、「不合理な遅滞なしに」おこなわなければなりません。开示すべき情报として、インシデントの性质や影响范囲、発生时期に関する要点のほか、财务状况や事业结果を含め、自社に対する重要な影响&#虫蹿蹿08;または合理的にみて生じる可能性が高い重要な影响&#虫蹿蹿09;に関する记述が含まれます。重要性の判断に関する上记の期限遵守においては、経営阵の能力が试されることになるかもしれません。事実が次々と明らかになり、サイバーインシデントへの対応に依然として追われる状况においては、経営阵にとってかなりの难题となりえます。适时に重要性の判断をおこなうには、内部统制や开示统制の新たな构筑または改定に加え、サイバーチーム、証券を専门とする弁护士、サイバーチームを支援する弁护士、経営层による开示チームで、连携することが必要になります。
企業側は、法執行機関が延期を要請した場合や国家安全保障にかかわる場合には、開示することについて懸念を示していましたが、最終規則では例外は極めて限定的となっています。米国司法長官が速やかな開示が国家安全保障または公共安全に重大なリスクをもたらすと判断し、SECに書面で通告した場合、(特段の事情がない限り) 開示を最長60日遅らせることができます。
ただし、実際問題として、米国司法長官からそのような迅速な決定を得るのは困難と考えられます。また、現行の米国証券取引所法に基づくSEC規則0-6を受け、国家防衛または対外政策に係る権益を保護するために米国連邦政府の省庁局が機密指定している情報の開示も、不要とされます。以前に開示した重要性のあるインシデントについて、当初のForm 8-Kの提出時点で入手できなかった情報や未確定だった情報を新たに入手した場合、Form 8-Kにおけるインシデントの開示を最新の内容に修正することが求められます。
サイバーセキュリティリスクの管理、戦略、ガバナンスに関する开示
企業は、サイバーセキュリティ脅威からの重要なリスクを評価?特定?管理するプロセスおよび現在の脅威や過去のサイバーセキュリティインシデントによるリスクの重大な影響や合理的に予測される影響について、Form 10-Kで開示することが義務づけられます。企業は、取締役会レベルが有するサイバーセキュリティの専門知識については開示が求められない一方、サイバーセキュリティ脅威によるリスクを取締役会がどのように監視するか、サイバーセキュリティの脅威のリスクを評価?管理するための経営陣の役割と専門知識については記述が必要になります。
発効日
サイバーインシデント開示のForm 8-Kは、米国連邦官報の公告日の90日後か2023年12月18日のいずれか遅い方の日から義務づけられます。小規模報告会社の場合、Form 8-Kにおける開示義務の開始までさらに180日の猶予が与えられます。全ての上場企業は、2023年12月15日以後に終了する会計年度の年次報告書から毎年Form 10-Kで開示をおこなうことが一律に要求されます。
Form S-3の使用資格、セーフハーバー
重大なサイバーインシデントの報告が遅れてForm 8-Kを提出しても、Form S-3申請書の略式版を使用できなくなることはありません。また、新規則は経営陣が迅速に重要性の判断をおこなわなければならないため、米国証券法上の責任からの限定的なセーフハーバーが提供されています。
详细については、下记リンクより全文をダウンロードしてください。
Dive into our thinking:
米国証券取引委員会 (SEC) のサイバーセキュリティ開示最終規則: 取締役会の視点
続きを読む