特集1：米国のサイバーリスク規制の展開

サイバーセキュリティに関わるSECの開示規則案
－広範囲に及ぶインシデントの懸念と情報開示－

板津　直孝

要約

1. デジタル技術と電子通信を通じた国際的な経済活動においては、サイバーセキュリティ・インシデントが、企業の財務やインフラに継続的かつ拡大するリスクをもたらしている。
2. 米国のバイデン大統領は、2022年3月、「重要インフラに関するサイバーインシデント報告法（CIRCIA）」に署名し、サイバーセキュリティ・社会基盤安全保障庁（CISA）によって定められた米国の重要インフラ事業者に対して、重要なサイバーセキュリティ・インシデントが発生した場合は72時間以内に、ランサムウェア攻撃による身代金の支払を行った場合は24時間以内にCISAに報告することを義務付けた。
3. CISAの動向と並行して米国証券取引委員会（SEC）は、2022年3月、「サイバーセキュリティに関するリスク管理、戦略、ガバナンス、及びインシデントの開示」の強化及び標準化のための規則案を公表した。同規則案では、サイバーセキュリティ・インシデントの財務的影響の範囲と大きさに関する情報が入手可能になった際に、その情報が適時に財務諸表に組み込まれる合理的な保証を提供できるように、企業が財務報告及びリスク管理システムを設計することを要請している。
4. 日本でも、海外からのサイバー攻撃が増加している。日本企業においても、サイバーセキュリティのリスクが企業の財務に及ぼす影響について、SECの開示規則案も参考にしつつ、非財務情報と財務情報の連動性を考慮して、有価証券報告書等において開示を検討することが重要であると言える。