Skip to Content
Article

SECとサイバーセキュリティ:企業が知らなければいけないこと

2019年1月23日 / 3 min read

米国証券取引委員会(SEC)は、サイバーセキュリティの開示に関する新しいガイダンスを発表しました。このガイダンスの改訂によって、なんらかの影響を受ける企業は少なくないと考えられます。効果的な情報開示の手順、投資家への通知プロセス、サイバーインシデントについて記載する各種報告書(Form)ならびにガイダンスの遵守方法等を企業は検討しなければなりません。

背景

2011年10月、SECの企業財務局(Division of Corporation Finance)は、サイバーセキュリティリスクやインシデントの開示義務に関するガイダンスを発行しました。これまで、サイバーセキュリティリスクやインシデントについて明言したものはなかったものの、企業はそのようなリスクやインシデントの情報開示を今後は義務付けられる可能性が出てきました。新しいガイダンスが発行されてから、多くの企業がサイバーセキュリティに関する情報をRisk Factorsのフォーマットに追加記載するようになっています。

資本市場全体およびあらゆる業界で事業を営む企業(SECによって規制されている上場企業を含む)が直面しているサイバーリスクや脅威に応じるため、SECは2018年2月21日、解釈ガイドラインを公表しました。今日の企業は、業務を遂行する中で、または顧客、ビジネスパートナーおよびその他の関係者と関わるにあたり、デジタルテクノロジーに頼ることが多くなってきています。US- CERT(United States Computer Emergency Readiness Team;米国情報セキュリティ対策組織)は、サイバーセキュリティを「情報通信システムおよびその中に含まれる情報が損傷、不正使用、改変、または悪用されるのを保護・防御する、活動、プロセス、能力あるいは状態」と定義しています。

かかるガイダンスが適用される対象者

かかるガイダンスが有効になる日

サイバーセキュリティリスクの開示に関するSECの新しいガイダンスの内容

上場企業は、情報漏洩などの重大なサイバーセキュリティリスクやインシデントについて、適時に投資家に通知する必要があります。

かかる情報を開示する場所

SECが追加のガイダンスを提供する理由

SECガイダンスを遵守するには

取るべき行動

上場企業の役員および取締役会は、証券の取引に対する規制をはじめとする開示管理方法およびその手続きについて再考することが求められています。サイバーセキュリティのガイダンスについての知識を深め、かかる新しいガイダンスが貴社のビジネスにどのように影響を与えるかについてさらに理解を深めたい場合は、当社までお気軽にご連絡ください。

関連記事

Medical professionals looking at their computer.
May 7, 2025

OCR ransomware settlements: A proactive cybersecurity approach is key

Article 6 min read
Group of business professionals discussing segregation of duties.
April 28, 2025

SOD matrix for risk management

Article 2 min read
Medical professional looking at scans on a computer.
March 21, 2025

Proceed with confidence: Fundamental strategies to secure medical devices from cyberthreats

Article 4 min read