米国証券取引委員会 (SEC) のサイバーセキュリティ開示最終規則: 取締役会の視点

企業側は、法執行機関が延期を要請した場合や国家安全保障にかかわる場合には、開示することについて懸念を示していましたが、最終規則では例外は極めて限定的となっています。米国司法長官が速やかな開示が国家安全保障または公共安全に重大なリスクをもたらすと判断し、SECに書面で通告した場合、(特段の事情がない限り) 開示を最長60日遅らせることができます。ただし、実際問題として、米国司法長官からそのような迅速な決定を得るのは困難と考えられます。また、現行の米国証券取引所法に基づくSEC規則0-6を受け、国家防衛または対外政策に係る権益を保護するために米国連邦政府の省庁局が機密指定している情報の開示も、不要とされます。以前に開示した重要性のあるインシデントについて、当初のForm 8-Kの提出時点で入手できなかった情報や未確定だった情報を新たに入手した場合、Form 8-Kにおけるインシデントの開示を最新の内容に修正することが求められます。

サイバーセキュリティリスクの管理、戦略、ガバナンスに関する開示

企業は、サイバーセキュリティ脅威からの重要なリスクを評価・特定・管理するプロセスおよび現在の脅威や過去のサイバーセキュリティインシデントによるリスクの重大な影響や合理的に予測される影響について、Form 10-Kで開示することが義務づけられます。企業は、取締役会レベルが有するサイバーセキュリティの専門知識については開示が求められない一方、サイバーセキュリティ脅威によるリスクを取締役会がどのように監視するか、サイバーセキュリティの脅威のリスクを評価・管理するための経営陣の役割と専門知識については記述が必要になります。

発効日

サイバーインシデント開示のForm 8-Kは、米国連邦官報の公告日の90日後か2023年12月18日のいずれか遅い方の日から義務づけられます。小規模報告会社の場合、Form 8-Kにおける開示義務の開始までさらに180日の猶予が与えられます。全ての上場企業は、2023年12月15日以後に終了する会計年度の年次報告書から毎年Form 10-Kで開示をおこなうことが一律に要求されます。

Form S-3の使用資格、セーフハーバー

重大なサイバーインシデントの報告が遅れてForm 8-Kを提出しても、Form S-3申請書の略式版を使用できなくなることはありません。また、新規則は経営陣が迅速に重要性の判断をおこなわなければならないため、米国証券法上の責任からの限定的なセーフハーバーが提供されています。

詳細については、下記リンクより全文をダウンロードしてください。