SECのサイバーインシデント報告規則は「あんまり意味ない?」 現状と問題点を調査Cybersecurity Dive

米国証券取引委員会(SEC)のサイバーインシデント報告規則が施行されてから11カ月が経過した。これに伴い上場企業が合計71件のサイバーセキュリティインシデントを報告したという。その内容はどういったものだったのだろうか。

» 2024年12月25日 08時30分 公開
[Matt KapkoCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 サイバーセキュリティインシデントに対応したプラットフォームを提供するBreachRxが2024年12月10日(現地時間、以下同)に報告書を発表した。米国証券取引委員会(SEC)のサイバーインシデント報告規則が2023年12月18日に施行されてから11カ月が経過した。

 その間に、上場企業が合計71件のサイバーセキュリティインシデントを報告したという(注1)。本規則では(注2)、企業は重大性を判断してから4日以内にインシデントを報告することが求められている(注3)。

 BreachRxの調査によると、47社から提出された書類のうち、重要な影響について具体的に記載していたのは5分の1未満だった。また、複数の企業がさらなる情報を得た際にSECに更新書類を提出していた。企業がサイバーインシデントを検知してから報告するまでに平均では約9日かかっていた。

「企業は混乱の渦中に」 サイバーインシデント報告規則の現状と問題点

 BreachRxのアンディ・ランスフォード氏(CEO)は、電子メールで次のように述べている。

 「企業が日々直面している影響の大きいインシデントの数を考慮すると、SECへの通知件数は非常に少ないように思われる。特に、州のデータ侵害報告サイトで報告されているインシデントの詳細を考慮すると、その差は顕著だ」

 SECのサイバー開示規則は依然として企業を混乱させており、過去1年間の提出書類の分析から、コンプライアンスの欠如や詳細情報の不足が明らかになっている。

 ランスフォード氏は「経営者たちが情報を過剰に共有することへの懸念を抱いているため、サイバーインシデント報告のタイミングや内容の充実度に関する一貫性が欠けた状況が続いている」と述べた(注4)。

 「最大の問題は、企業が意思決定に役立つ有用な情報を提供していないことだ。これまでに提出された書類の大半において、非常に一般的で定型的な表現が使用されている。他の多くの規制当局と同様にSECは、インシデントやサイバーセキュリティリスクの報告において、企業により高い透明性を求めている」

 上場企業に対し、年次報告書でサイバーリスク管理およびガバナンス戦略を報告するよう求めるSECの別の規則に関連するところでは、2024年11月18日時点で154件の報告書が提出された。BreachRxによると、これらの報告書の大半は、サイバーリスクについて、ほぼ同一の一般的な表現を用いて説明していたという。

(注1)Cyber Rules & Regulations Research Report (CRRR) 2024: The Year of SEC Cyber Rules(BREACHRX)
(注2)SEC cyber disclosure rules are taking effect: Here’s what to expect(Cybersecurity Dive)
(注3)What’s material to the SEC, 3 months into cyber disclosure rules?(Cybersecurity Dive)
(注4)How companies describe cyber incidents in SEC filings(Cybersecurity Dive)

© Industry Dive. All rights reserved.

メールマガジンのお知らせ

メールマガジン

企業を変革するビジネス視点のメールマガジンを毎朝配信中!!

あなたにおすすめの記事PR