自社がサイバー攻撃を受けた 証券取引委員会は敵か味方か

証券取引委員会の新しいサイバーセキュリティ開示規則が施行された。企業側に求められることは多く、経営層から担当者まで考えなければならないことが多い。

[Chris Tarbell, Dave Franzel and Greg Van Houten，Cybersecurity Dive]

　証券取引委員会（SEC）の新しいサイバーセキュリティ開示規則が2023年12月18日（現地時間）に施行された。今後、上場企業はインシデントが「重大」であると判断してから4営業日以内に開示しなければならない。

日本企業はどうすればよいのか

　他にも義務がある。企業はSECに提出が義務づけられている年次報告書の開示様式「フォーム10-K」を通じて、サイバーセキュリティ戦略やリスク管理、ガバナンス慣行に関する情報も開示しなければならなくなる。日本企業はどうすればよいのだろうか。

　情報開示の公共性の高さやSECの執行措置に対する注目の高まり、サイバーインシデントに関する活発な株主訴訟の状況を考慮すると、米国企業、日本などの外資を問わず、企業はリスクを低減して、SECの新規則の実施に備えるために今すぐ行動を起こさなければならない。

　企業関係者が何を心配すべきなのかは、監督する対象によって異なる。以下では、新規則の施行に先立ち、取締役会や役員、リスクマネジャーの主要な考慮事項を紹介する。

取締役会メンバーが考慮すべきこと

サイバーセキュリティを取締役会での検討事項に引き上げる

　取締役会は組織がどのようにサイバーリスクに備えているのかを十分に把握すべきだ。よく整備されたサイバーダッシュボードを作らせて定期的に更新させることには益がある。

　内部または第三者のサイバーセキュリティの専門家が、サイバーダッシュボードを更新して、技術的なバックグラウンドを持たない取締役会メンバーに対して、複雑で技術的な概念を理解させなければならない。

取締役会メンバーの増員を検討する際には、サイバー関連の経験を優先する

　取締役会にサイバーリスクを独自に評価できる人物を置くことで、サイバーセキュリティに関する意思決定の質を向上できる。

　SECの新しい規則では、サイバーセキュリティに関する取締役会の専門知識の開示も義務付けられており、取締役会に専門知識が欠けていた場合、SECや株主によって詳細に調査される可能性がある。

新しい情報開示規則に対応する

　少なくとも、企業はフォーム10-Kにおいて「サイバーセキュリティの脅威から発生するリスクに対する取締役会の監督」について開示しなければならない。

　該当する場合は、そのような監督を担当する取締役会の委員会または小委員会を指定し、これらの組織がリスクについて報告を受けるプロセスを説明しなければならない。

役員が考慮すべきこと

計画を立てる

　サイバーインシデントが発生する以前に、いざというときに連絡しなければならない相手を確認しておく。

　誰が率先して対応するのか、法律事務所や解析の専門家、広報担当者、身代金交渉人、危機管理の専門家のうち誰を招集する必要があるのか、重要な決定はどのように下されて、各担当者はどのような責任を負うのか。

　これら全てが、インシデント対応計画において明確に文書化されていなければならない。

計画をテストする

　インシデント対応計画を最初に実行するのは、実際にインシデントが発生したときではない。インシデント対応計画をテストする最も一般的な方法の一つは机上演習だ。役員層でサイバー脅威に対する認識を高める良い方法でもある。

　机上演習では通常、第三者によって影響力のあるインシデントのシミュレーションを実施して、組織のインシデント対応計画を通じて経営陣を指導する。

計画を繰り返す

　インシデント対応計画はサイバー脅威の状況や規制要件、コーポレートガバナンスの変化に応じて深めていかなければならない。インシデントの事後検証や新しい開示規則、組織構造の大規模な変更に対応するために、定期的にインシデント対応計画を更新することが重要だ。

リスクマネジャーが考慮すべきこと

サイバー保険に関する申請がフォーム10-Kのサイバー情報開示に合致しているかどうかを確認する

　保険契約者の申請がフォーム10-Kの開示内容と異なっていた場合、サイバー保険企業は申請に虚偽の情報が含まれるとして、保険金の支払いを拒否したり、保険契約を無効にしたりすることがある。

　つまり、サイバー保険の申請と開示の間に整合性を持たせなければならない。

保険企業が提供する予防的なサイバーサービスを利用する

　多くの保険企業は、脆弱（ぜいじゃく）性に関する警告システムへのアクセスや無料のサイバーリスク評価などの予防的なサイバーサービスを提供している。

　賢明なリスクマネジャーは保険企業を選択する際にこれらのサービスを考慮する。保険契約締結後にはインシデント対応計画の一環として、またはその他の方法で、これらのサービスの無償活用について検討しなければならない。

保険契約における「戦争に関する免責条項」の範囲について交渉する

　今日のサイバー保険市場において、戦争による免責について定めた条項は一般的ではなくなりつつある。だが、リスクマネジャーは保険契約の提案書にそのような免責事項が含まれているかどうかを注意深く評価すべきだ。一部の保険企業は、サイバー侵害が「戦争」行為から生じたという理由で請求に対する支払いを拒否しているためだ。

　このような免責条項が保険契約の提案書に記載されていた場合、リスクマネジャーは条項を削除したり、適用範囲を狭くしたりするための交渉を検討すべきだ。

主要なサイバーインシデントベンダーについて保険企業の承認を求める

　法律顧問やIT解析専門家、広報担当者、危機対応チームなどの主要なサイバーインシデントベンダーが、サイバー保険契約の裏書を通じてサイバー保険企業から事前承認されていることを確認すべきだ。

　そうすることで、いざというときにサイバーインシデントへの迅速な対応に集中でき、保険企業が主要なベンダーを承認するかどうかについて心配する必要がなくなる。

証券会社や株主からの請求に対する保険内容の不足を特定して補完する

　SECの新しい開示規則により、証券会社や株主からの派生的な請求が増加する可能性がある。リスクマネジャーは役員や取締役に関する保険条項とサイバーポリシーの間で、請求に関する不一致がないことを確認すべきだ。

　役員保険の中にサイバー分野に関する広い免責条項があった場合、不一致が生じる可能性が最も高い。免責条項があって、さらに証券取引法の違反に対する補償をサイバー保険が除外していると、請求に対する不一致が生じる可能性がある。

　また、サイバー保険に広範な被保険者に対する免責条項がある場合、株主が「被保険者」とみなされる範囲において株主代表訴訟についても不一致が生じる可能性がある。

保険企業をサイバーインシデント対応チームに加えることを検討する

　ほとんどのサイバー保険は保険契約者が保険企業の書面による同意なしに責任を認めたり、引き受けたりすることを禁じている。

　SECの新しい開示規則では、サイバーインシデント発生後、企業は短期間のうちに「フォーム8-K」によって開示しなければならない。開示には責任を認めたり、負担したりしたと解釈される可能性のある記述が含まれている。このため、フォーム8-Kによる開示の作業にサイバー保険企業を参加させ、フォームに関する同意を得ることが賢明かもしれない。

著者：グレッグ・ヴァン・ホータン氏（Haynes Booneの弁護士）、クリス・ターベル氏（Naxoの共同創設者）、デイブ・フランゼル氏（Naxoの共同創設者）

出典：SEC’s cyber disclosure rules: Key considerations for the board, C-suite and risk managers（Cybersecurity Dive）