最終規則が課す重要な開示要件―取締役会による厳格な監視強化が急務に
サイバーセキュリティインシデントに重要性がある場合、Form 8-Kでの報告が必須
上場企業は今後、「サイバーセキュリティインシデント」を発見した際、インシデントの発見時点からではなく、重大であると企業が判断してから4営業日以内に報告することが義務づけられます。さらに重要性の判断も、インシデントの発見後、「不合理な遅滞なしに」おこなわなければなりません。開示すべき情報として、インシデントの性質や影響範囲、発生時期に関する要点のほか、財務状況や事業結果を含め、自社に対する重要な影響(または合理的にみて生じる可能性が高い重要な影響)に関する記述が含まれます。重要性の判断に関する上記の期限遵守においては、経営陣の能力が試されることになるかもしれません。事実が次々と明らかになり、サイバーインシデントへの対応に依然として追われる状況においては、経営陣にとってかなりの難題となりえます。適時に重要性の判断をおこなうには、内部統制や開示統制の新たな構築または改定に加え、サイバーチーム、証券を専門とする弁護士、サイバーチームを支援する弁護士、経営層による開示チームで、連携することが必要になります。
企業側は、法執行機関が延期を要請した場合や国家安全保障にかかわる場合には、開示することについて懸念を示していましたが、最終規則では例外は極めて限定的となっています。米国司法長官が速やかな開示が国家安全保障または公共安全に重大なリスクをもたらすと判断し、SECに書面で通告した場合、(特段の事情がない限り) 開示を最長60日遅らせることができます。ただし、実際問題として、米国司法長官からそのような迅速な決定を得るのは困難と考えられます。また、現行の米国証券取引所法に基づくSEC規則0-6を受け、国家防衛または対外政策に係る権益を保護するために米国連邦政府の省庁局が機密指定している情報の開示も、不要とされます。以前に開示した重要性のあるインシデントについて、当初のForm 8-Kの提出時点で入手できなかった情報や未確定だった情報を新たに入手した場合、Form 8-Kにおけるインシデントの開示を最新の内容に修正することが求められます。
サイバーセキュリティリスクの管理、戦略、ガバナンスに関する開示
企業は、サイバーセキュリティ脅威からの重要なリスクを評価・特定・管理するプロセスおよび現在の脅威や過去のサイバーセキュリティインシデントによるリスクの重大な影響や合理的に予測される影響について、Form 10-Kで開示することが義務づけられます。企業は、取締役会レベルが有するサイバーセキュリティの専門知識については開示が求められない一方、サイバーセキュリティ脅威によるリスクを取締役会がどのように監視するか、サイバーセキュリティの脅威のリスクを評価・管理するための経営陣の役割と専門知識については記述が必要になります。
発効日
サイバーインシデント開示のForm 8-Kは、米国連邦官報の公告日の90日後か2023年12月18日のいずれか遅い方の日から義務づけられます。小規模報告会社の場合、Form 8-Kにおける開示義務の開始までさらに180日の猶予が与えられます。全ての上場企業は、2023年12月15日以後に終了する会計年度の年次報告書から毎年Form 10-Kで開示をおこなうことが一律に要求されます。
Form S-3の使用資格、セーフハーバー
重大なサイバーインシデントの報告が遅れてForm 8-Kを提出しても、Form S-3申請書の略式版を使用できなくなることはありません。また、新規則は経営陣が迅速に重要性の判断をおこなわなければならないため、米国証券法上の責任からの限定的なセーフハーバーが提供されています。
詳細については、下記リンクより全文をダウンロードしてください。
本稿に関するご質問は、KPMGの貴社担当チームあるいはUS Japanese Practice までご連絡ください。
この文書はKPMG Board Leadership Centerが発行したSEC's final cybersecurity rules: A board lens をベースに作成したものです。翻訳と英語原文間に齟齬がある場合は、当該英語原文が優先するものとします。
The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act upon such information without appropriate professional advice after a thorough examination of the particular situation. KPMG does not provide legal advice.