« 中国 意見募集 国家サイバースペース管理局 インターネットポップアップ情報プッシュ型サービス管理弁法案 | Main | NIST SP 800-204C サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施 »

2022.03.11

米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

こんにちは、丸山満彦です。

日本でもサイバーセキュリティの開示についての議論が高まっています(すみません、私の周りだけかもしれません。。。)が、米国のSECが、公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則を提案していますね。。

インシデントが発生してから4日以内にForm 8-Kによる開示が必要ということのようですね。。。

また、定期的な報告においても定性情報として、新たにItem 106を設けて開示ということのようですね。。。

 

U.S. Securities Exchange Commission: SEC

・2022.03.09 (press) SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies

Comments Received

 

SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies SEC、公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則を提案
he Securities and Exchange Commission today proposed amendments to its rules to enhance and standardize disclosures regarding cybersecurity risk management, strategy, governance, and incident reporting by public companies. 証券取引委員会は本日、公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデント報告に関する情報開示を強化・標準化するための規則改正を提案しました。
"Over the years, our disclosure regime has evolved to reflect evolving risks and investor needs," said SEC Chair Gary Gensler. "Today, cybersecurity is an emerging risk with which public issuers increasingly must contend. Investors want to know more about how issuers are managing those growing risks. A lot of issuers already provide cybersecurity disclosure to investors. I think companies and investors alike would benefit if this information were required in a consistent, comparable, and decision-useful manner. I am pleased to support this proposal because, if adopted, it would strengthen investors’ ability to evaluate public companies' cybersecurity practices and incident reporting." SECのゲーリー・ゲンスラー委員長は、以下のように述べています。「長年にわたり、我々の開示体制は、進化するリスクと投資家のニーズを反映して発展してきました。今日、サイバーセキュリティは、上場企業がますます取り組まなければならない新たなリスクとなっています。投資家は、発行者がそうした増大するリスクにどのように対処しているか、より詳しく知りたがっています。多くの発行者は、すでに投資家に対してサイバーセキュリティに関する情報開示を行っています。この情報が、一貫性があり、比較可能で、意思決定に有用な方法で要求されれば、企業も投資家も同様に利益を得ることができると思います。この提案が採用されれば、投資家が上場企業のサイバーセキュリティの実践とインシデント報告を評価する能力を強化することになるので、私は喜んでこの提案を支持します。」
The proposed amendments would require, among other things, current reporting about material cybersecurity incidents and periodic reporting to provide updates about previously reported cybersecurity incidents. The proposal also would require periodic reporting about a registrant’s policies and procedures to identify and manage cybersecurity risks; the registrant’s board of directors' oversight of cybersecurity risk; and management’s role and expertise in assessing and managing cybersecurity risk and implementing cybersecurity policies and procedures. The proposal further would require annual reporting or certain proxy disclosure about the board of directors’ cybersecurity expertise, if any. この改正案では、特に、重要なサイバーセキュリティインシデントに関する最新の報告と、過去に報告されたサイバーセキュリティインシデントに関する最新情報を提供するための定期的な報告を要求しています。また、サイバーセキュリティリスクを特定し管理するための登録者の方針と手続き、登録者の取締役会によるサイバーセキュリティリスクの監督、サイバーセキュリティリスクの評価と管理およびサイバーセキュリティ方針と手続きの実施における経営者の役割と専門知識についての定期的な報告も要求されます。さらにこの提案は、取締役会のサイバーセキュリティに関する専門知識がある場合には、それに関する年次報告または一定の委任状による開示を要求するものです。
The proposed amendments are intended to better inform investors about a registrant's risk management, strategy, and governance and to provide timely notification to investors of material cybersecurity incidents. この改正案は、登録企業のリスク管理、戦略、ガバナンスについて投資家によりよく情報を提供し、サイバーセキュリティに関する重要な事故について投資家に適時に通知することを意図しています。
The proposing release will be published on SEC.gov and in the Federal Register. The comment period will remain open for 60 days following publication of the proposing release on the SEC's website or 30 days following publication of the proposing release in the Federal Register, whichever period is longer. 提案リリースは、SEC.govおよび連邦官報に掲載されます。意見募集期間は、SECのウェブサイトでの提案リリースの公開から60日間、または連邦官報での提案リリースの公開から30日間のいずれか長い方の期間となります。

 

・[PDF] Fact Sheet

20220311-103458 

The Securities and Exchange Commission proposed rules and amendments to enhance and standardize disclosures regarding cybersecurity risk management, strategy, governance, and incident reporting by public companies (“registrants”) that are subject to the reporting requirements of the Securities Exchange Act of 1934.   米国証券取引委員会は、1934年証券取引法の報告義務の対象となる公開企業(以下、登録企業)によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデント報告に関する開示を強化・標準化する規則と改正案を提案した。 
Specifically, the proposal would:   具体的には、本提案は以下の通りである。 
● Require current reporting about material cybersecurity incidents on Form 8-K;   ● サイバーセキュリティに関する重要なインシデントについて、Form 8-Kで最新の報告を行うことを義務付ける。 
● Require periodic disclosures regarding, among other things:  ● 特に以下の事項に関する定期的な情報開示を要求する。
o A registrant’s policies and procedures to identify and manage cybersecurity risks;  o サイバーセキュリティのリスクを特定し、管理するための登録者の方針と手続き。
o Management’s role in implementing cybersecurity policies and procedures;  o サイバーセキュリティの方針および手続きの実施における経営陣の役割。
o Board of directors’ cybersecurity expertise, if any, and its oversight of cybersecurity risk; and   o 取締役会のサイバーセキュリティに関する専門知識(もしあれば)およびサイバーセキュリティリスクの監督;および  
o Updates about previously reported material cybersecurity incidents; and  o 以前に報告された重要なサイバーセキュリティインシデントに関する最新情報、および 
● Require the cybersecurity disclosures to be presented in Inline eXtensible Business Reporting Language (Inline XBRL).  サイバーセキュリティの開示は、Inline eXtensible Business Reporting Language (Inline XBRL)で表示することを要求する。
Background and Current Requirement  背景と提案する要求事項 
In 2011, the Division of Corporation Finance issued interpretive guidance providing the Division’s views concerning registrants’ existing disclosure obligations relating to cybersecurity risks and incidents. In 2018, the Commission issued interpretive guidance to reinforce and expand upon the 2011 staff guidance. The Commission addressed the importance of cybersecurity policies and procedures and the application of insider trading prohibitions in the context of cybersecurity. Although registrants’ disclosures of both material cybersecurity incidents and cybersecurity risk management and governance have improved since then, disclosure practices are inconsistent.    2011年、企業財務局は、サイバーセキュリティのリスクとインシデントに関する登録者の既存の開示義務に関する局の見解を示す解釈指針を発表した。2018年、委員会は、2011年のスタッフガイダンスを強化・拡大する解釈ガイダンスを発行した。委員会は、サイバーセキュリティの方針と手続きの重要性、およびサイバーセキュリティの文脈におけるインサイダー取引禁止の適用について言及した。登録者によるサイバーセキュリティの重要な事故とサイバーセキュリティのリスク管理およびガバナンスの両方に関する開示は、それ以降改善されているものの、開示実務には一貫性がない。  
The proposed amendments are designed to better inform investors about a registrant’s risk management, strategy, and governance and to provide timely notification of material cybersecurity incidents. Consistent, comparable, and decision-useful disclosures would allow investors to evaluate registrants’ exposure to cybersecurity risks and incidents as well as their ability to manage and mitigate those risks and incidents.  今回の改正案は、登録者のリスク管理、戦略、ガバナンスについて投資家によりよく情報を提供し、重要なサイバーセキュリティインシデントの通知を適時に行うことを目的としている。一貫性があり、比較可能で、意思決定に有用な開示により、投資家はサイバーセキュリティリスクとインシデントへのエクスポージャー、およびそれらのリスクとインシデントを管理・軽減する能力を評価することができるようになる。
Incident Disclosure Proposed Amendments   インシデント開示の修正案  
The SEC proposed to:   SECは以下を提案した。 
● Amend Form 8-K to require registrants to disclose information about a material cybersecurity incident within four business days after the registrant determines that it has experienced a material cybersecurity incident;  ● フォーム8-Kを修正し、登録者が重要なサイバーセキュリティインシデントを経験したと判断した後、4営業日以内にサイバーセキュリティインシデントに関する情報を開示するよう要求する。
● Add new Item 106(d) of Regulation S-K and Item 16J(d) of Form 20-F to require registrants to provide updated disclosure relating to previously disclosed cybersecurity incidents and to require disclosure, to the extent known to management, when a series of previously undisclosed individually immaterial cybersecurity incidents has become material in the aggregate; and  ● Regulation S-K のItem 106(d) およびフォーム 20-F の項目 16J(d) を新たに追加し、以前に開示したサイバーセキュリティインシデントに関する最新の情報を提供するよう登録者に要求するとともに、以前に未開示だった個別のサイバーセキュリティインシデントが集合的に重要となった場合に、経営陣に分かる範囲で開示を要求する。
● Amend Form 6-K to add “cybersecurity incidents” as a reporting topic.  ● フォーム 6-K を改訂し、報告トピックとして「サイバーセキュリティインシデント」を追加する。
Risk Management, Strategy, and Governance Disclosure   リスクマネジメント、戦略、ガバナンスの開示  
In addition to incident reporting, the SEC proposed to require enhanced and standardized disclosure on registrants’ cybersecurity risk management, strategy, and governance. Specifically, the proposal would:  SECは、インシデント報告に加えて、登録者のサイバーセキュリティリスク管理、戦略、ガバナンスに関する開示の強化および標準化を要求することを提案した。具体的な提案は以下の通りである。
● Add Item 106 to Regulation S-K and Item 16J of Form 20-F to require a registrant to:   ● レギュレーション S-K の項目 106 とフォーム 20-F の項目 16J を追加し、登録者に以下を要求する。 
○ Describe its policies and procedures, if any, for the identification and management of risks from cybersecurity threats, including whether the registrant considers cybersecurity as part of its business strategy, financial planning, and capital allocation; and   ○ 登録者が事業戦略、財務計画、資本配分の一環としてサイバーセキュリティを考慮するかどうかを含め、サイバーセキュリティの脅威によるリスクを特定し管理するための方針と手順がある場合は、それを説明すること。 
○ Require disclosure about the board’s oversight of cybersecurity risk and management’s role and expertise in assessing and managing cybersecurity risk and implementing the registrant’s cybersecurity policies, procedures, and strategies.   ○ サイバーセキュリティリスクの評価と管理、および登録者のサイバーセキュリティ方針、手順、戦略の実施における、取締役会の監視と経営陣の役割および専門知識についての開示を義務付ける。 
● Amend Item 407 of Regulation S-K and Form 20-F to require disclosure regarding board member cybersecurity expertise. Proposed Item 407(j) would require disclosure in annual reports and certain proxy filings if any member of the registrant’s board of directors has expertise in cybersecurity, including the name(s) of any such director(s) and any detail necessary to fully describe the nature of the expertise.  ● レギュレーション S-K およびフォーム 20-F のItem 407 を改正し、取締役会のメンバーのサイバーセキュリティに関する専門知識に関する開示を義務付ける。提案された項目 407(j) は、登録者の取締役会のメンバーがサイバーセキュリティの専門知識を有している場合、そのような取締役の名前と専門知識の性質を完全に説明するために必要な詳細を含む年次報告書と特定の委任状提出における開示を要求するものである。
Additional Information:  追加情報 
The public comment period will remain open for 60 days following publication of the proposing release on the SEC’s website or 30 days following publication of the proposing release in the Federal Register, whichever period is longer パブリックコメント期間は、SECのウェブサイトでの提案リリースの公表後60日間、または連邦官報での提案リリースの公表後30日間のいずれか長い方の期間となる。

 

 

 

 

・[PDF] Proposed Rule

20220311-103451

・[DOCX] 仮訳

 

 

 

 

目次

I. BACKGROUND I. 背景
A. Existing Regulatory Framework and Interpretive Guidance Regarding Cybersecurity Disclosure A. サイバーセキュリティの開示に関する既存の規制の枠組みと解釈のガイダンス
B. Current Disclosure Practices B. 現在の情報開示の実務
II. PROPOSED AMENDMENTS II. 修正案
A. Overview A. 概要
B. Reporting of Cybersecurity Incidents on Form 8-K B. サイバーセキュリティインシデントのForm 8-Kでの報告
1. Overview of Proposed Item 1.05 of Form 8-K 1. Form 8-Kの提案項目1.05の概要
2. Examples of Cybersecurity Incidents that May Require Disclosure Pursuant to Proposed Item 1.05 of Form 8-K 2. Form 8-Kの提案項目1.05に従った開示が必要となるサイバーセキュリティインシデントの例
3. Ongoing Investigations Regarding Cybersecurity Incidents 3. サイバーセキュリティインシデントに関する継続的な調査
4. Proposed Amendment to Form 6-K 4. Form 6-Kの修正案
5. Proposed Amendments to the Eligibility Provisions of Form S-3 and Form SF-3 and Safe Harbor Provision in Exchange Act Rules 13a-11 and 15d-11 5. Form S-3、Form SF-3の適格性規定及び取引所法規則13a-11、15d-11のセーフハーバー規定に関する修正案
C. Disclosure about Cybersecurity Incidents in Periodic Reports C. 定期報告書におけるサイバーセキュリティインシデントの開示について
1. Updates to Previously Filed Form 8-K Disclosure 1. 過去に提出されたForm 8-Kによる開示の更新
2. Disclosure of Cybersecurity Incidents that Have Become Material in the Aggregate 2. 累計で重要となったサイバーセキュリティインシデントの開示
D. Disclosure of a Registrant’s Risk Management, Strategy and Governance Regarding Cybersecurity Risks D. サイバーセキュリティリスクに関する登録者のリスク管理、戦略及びガバナンスの開示
1. Risk Management and Strategy 1. リスクマネジメントと戦略
2. Governance 2. ガバナンス
3. Definitions 3. 定義
E. Disclosure Regarding the Board of Directors’ Cybersecurity Expertise E. 取締役会のサイバーセキュリティに関する専門知識についての開示
F. Periodic Disclosure by Foreign Private Issuers F. 外国民間発行体による定期的な情報開示
G. Structured Data Requirements G. 構造化データの要件
III. ECONOMIC ANALYSIS III. 経済分析
A. Introduction A. はじめに
B. Economic Baseline B. 経済ベースライン
1. Current Regulatory Framework 1. 現在の規制の枠組み
2. Affected Parties 2. 影響を受ける当事者
C. Potential Benefits and Costs of the Proposed Amendments C. 修正案がもたらす潜在的な利益とコスト
1. Benefits 1. メリット
a. Benefits to investors a. 投資家にとってのメリット
(i) More Informative and More Timely Disclosure (i) より多くの情報のよりタイムリーな開示
(ii) Greater Uniformity and Comparability (ii) 統一性・比較可能性の向上
b. Benefits to registrants b. 登録者のメリット
2. Costs 2. コスト
3. Indirect Economic Effects 3. 間接的な経済効果
D. Anticipated Effects on Efficiency, Competition, and Capital Formation D. 効率性、競争、資本形成に対する予想される効果
E. Reasonable Alternatives E. 合理的な代替案
1. Website Disclosure 1. ウェブサイトによる開示
2. Disclosure through Form 10-Q and Form 10-K 2. Form 10-QおよびForm 10-Kによる開示
3. Exempt Smaller Reporting Companies 3. 免除される小規模な報告会社
4. Modify Scope of Inline XBRL Requirement 4. インライン XBRL 要求範囲の変更
IV. PAPERWORK REDUCTION ACT IV. ペーパーワーク削減法
A. Summary of the Collection of Information A. 情報収集の概要
B. Summary of the Estimated Burdens of the Proposed Amendments on the Collections of Information B. 修正案による情報収集の負担の試算の概要
C. Incremental and Aggregate Burden and Cost Estimates C. 負担とコストの増分と総額の見積もり
V. SMALL BUSINESS REGULATORY ENFORCEMENT FAIRNESS ACT V. 小規模事業者規制実施公正化法
VI. INITIAL REGULATORY FLEXIBILITY ACT ANALYSIS VI. 規制柔軟性法の初期分析
A. Reasons for, and Objectives of, the Proposed Action A. 提案された措置の理由と目的
B. Legal Basis B. 法的根拠
C. Small Entities Subject to the Proposed Rules C. 本規則案の対象となる小規模事業者
D. Projected Reporting, Recordkeeping and Other Compliance Requirements D. 報告、記録管理およびその他のコンプライアンス要件の予測
E. Duplicative, Overlapping, or Conflicting Federal Rules E. 重複する、重なる、または抵触する連邦規則
F. Significant Alternatives F. 重要な代替案
STATUTORY AUTHORITY AND TEXT OF PROPOSED RULE AND FORM AMENDMENTS 法的根拠および規則・書式修正案本文

 

 

規制等のリンク

● SEC

Rules, Regulations and Schedules

Regulation S-K [17 CFR Part 229]

 

|

« 中国 意見募集 国家サイバースペース管理局 インターネットポップアップ情報プッシュ型サービス管理弁法案 | Main | NIST SP 800-204C サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 意見募集 国家サイバースペース管理局 インターネットポップアップ情報プッシュ型サービス管理弁法案 | Main | NIST SP 800-204C サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施 »