経済・政策レポート
米国証券取引委員会(SEC)は 2023 年 7 月、最終規則「サイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示」を公表した。新規則は上場企業に対し、①サイバーセキュリティのリスク管理と戦略、ガバナンスに関する一定の情報を Form 10-K(年次報告書)において開示すること、および②顧客情報への不正アクセス等のサイバーセキュリティ・インシデントが発生した場合、当該インシデントを重要(material)と判断した時点から原則 4 営業日以内に Form 8-K(臨時報告書)で開示することを義務づける。これを受け、米国上場企業(含む外国企業)は 2023 年 12 月以降、SEC 規則に従った開示を開始している。
さらに SEC は近年、重要インシデント発生前後の上場企業の開示に着目したエンフォースメント・アクション(執行措置)を積極化させ、サイバーセキュリティに関する重要情報の正確かつタイムリーな開示(適時開示)を強力に促している。
日本において、上場企業にサイバーセキュリティのリスク管理と戦略、ガバナンスに関する開示を明示的に義務づける法規制は存在しない。サイバー攻撃が企業の事業や財務に与える影響がますます大きくなるなか、投資家をはじめとするステークホルダーの関心も高まりつつある。したがって、日本企業としても、サイバーセキュリティ・リスク管理やそのガバナンス等に関する情報開示を今後一層充実させていくことが望まれる。将来的には、プライム市場上場企業等に対する有価証券報告書における最低限の開示義務づけも検討すべきである。
一方、上場企業に「重要インシデント」が発生した場合は、日本の現行法規制の下でも、東京証券取引所有価証券上場規程に基づく適時開示等が義務づけられる場合がある。もっとも、明示的な開示期限が定められていないほか、適時開示義務違反に対する実効性確保措置にも課題がある。東京証券取引所には、①重要インシデント発生時の適時開示ガイダンスの策定、および②実効性確保措置の一層の強化を通じて、重要インシデントの迅速な開示を促し、投資家保護やインサイダー取引の未然防止を図っていくことが求められる。
(全文は上部の「PDFダウンロード」ボタンからご覧いただけます)
- 経済・政策レポート