米国 ITI SECのサイバーセキュリティに関する規則案の延期を要請 - セキュリティリスクの分散と軽減のために: まるちゃんの情報セキュリティ気まぐれ日記

November 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30

2022.05.12

米国 ITI SECのサイバーセキュリティに関する規則案の延期を要請 - セキュリティリスクの分散と軽減のために

こんにちは、丸山満彦です。

Information Technology Industry Council (ITI) [wikipedia]、日本語で言えば、IT産業協議会ですかね、、、が、SECが公表した、セキュリティインシデントの開示を含む規則案に対するコメントを公表していますね。。。

概要で言うと、

投資家のリスクを低減すると言う意味では賛成するものの、以下の懸念事項等があるので、もう少し良く考えたら？？？と言うことのようですね。。。

・開示内容次第では、かえってリスクを高め、ひいては投資家保護に繋がらないので、開示内容については慎重なガイドが必要

・CISAの要求事項との調整をちゃんと図り、連邦政府全体としての整合性を保つことが重要

・法執行、国家安全保障上の観点を踏まえたセーフハーバー条項を設けるべき

・報告要件は従前の重要性の概念との整合性を考えると不要ではないか？

・開示スケジュールを４営業日とすることは、短い場合もあるのではないか？

・取引先等の第三者によるセキュリティインシデントは開示対象から外すべき

・投資家の意識向上につながる面もあるが、杓子定規な規定はかえって良くない場合もある

● Information Technology Industry Council (ITI)

・2022.05.09 ITI Urges SEC to Delay Proposed Rule on Cybersecurity to Deconflict, Mitigate Security Risks

ITI Urges SEC to Delay Proposed Rule on Cybersecurity to Deconflict, Mitigate Security Risks	ITI SECに対して、セキュリティリスクの回避、低減のためにサイバーセキュリティに関する規則案の延期を要請
WASHINGTON – Today, global tech trade association ITI urged the Securities and Exchange Commission (SEC) to delay implementation of its Proposed Rule on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure to ensure the rule does not undermine cybersecurity and create additional security risks. In comments to the SEC, ITI cautions that the proposed rule could inadvertently expose unmitigated vulnerabilities and conflict with the Cybersecurity and Infrastructure Security Agency (CISA) rulemaking to implement the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). Delaying the implementation of the proposed rule would provide the SEC and stakeholders the opportunity to work through these challenges and allow the SEC the time to coordinate with CISA to deconflict the proposed rule with CIRCIA.	ワシントン - 本日、世界的な技術業界団体であるITIは、証券取引委員会（SEC）に対し、サイバーセキュリティのリスク管理、戦略、ガバナンス、インシデント開示に関する規則案の実施を延期し、この規則がサイバーセキュリティを損ない、さらなるセキュリティリスクをもたらさないことを確保するよう要請しました。ITIはSECへのコメントで、この規則案が不用意に未処理の脆弱性を露出させ、2022年重要インフラ向けサイバーインシデント報告法（CIRCIA）を実施するためのサイバーセキュリティ・インフラセキュリティ庁（CISA）の規則制定と矛盾する恐れがあると注意を呼びかけています。規則案の実施を延期することで、SECと利害関係者にこれらの課題を解決する機会を提供し、SECがCISAと調整して規則案とCIRCIAとの軋轢を解消する時間を確保することができます。
“ITI supports the Commission’s intent to improve investors’ awareness of material cybersecurity incidents and believe that in many instances offering information about cybersecurity incidents and governance procedures can help to improve transparency,” ITI wrote in the comments. “While we understand the objectives of the rule are to improve investor awareness of cybersecurity-related factors, we are concerned that it may in fact serve to undermine cybersecurity if not appropriately calibrated. We encourage the SEC to delay implementation of the proposed rule until CISA has further implemented its own rulemaking pursuant to CIRCIA 2021, so as to have a more fulsome understanding of the cyber incident reporting landscape.”	ITIは次のように述べています。「ITIは、サイバーセキュリティに関する重要なインシデントに対する投資家の認識を向上させるという委員会の意図を支持し、多くの場合、サイバーセキュリティインシデントとガバナンス手順に関する情報を提供することが透明性の向上に役立つと信じています。この規則の目的は、サイバーセキュリティ関連要因に対する投資家の認識を向上させることであると理解していますが、適切に調整されなければ、かえってサイバーセキュリティを弱体化させることになりかねないことを懸念しています。我々は、CISAがCIRCIA 2021に従って独自のルールメイキングをさらに実施し、サイバーインシデント報告の状況をより十分に理解できるようになるまで、このルール案の実施を延期するようSECに奨励します。」
In the comments, ITI offers perspectives on and recommendations to improve the SEC’s proposed rule, including highlighting its overarching concerns that the rule could serve to undermine cybersecurity and the relevance of “materiality.” In addition to its recommendation to work with CISA to ensure federal coordination to the extent possible, ITI urges the SEC to avoid requiring disclosure of incidents experienced by third-party vendors and include safe harbor provisions for law enforcement, national security, and cybersecurity interests.	意見書の中で、ITIは、この規則がサイバーセキュリティと「重要性」の関連性を弱めることになりかねないという包括的な懸念を強調するなど、SECの規則案に対する見解と改善のための提言を提供しています。ITIは、CISAと連携して可能な限り連邦政府の協調を確保するという提言に加え、SECに対し、第三者ベンダーが経験した事故の開示を義務付けることを避け、法執行、国家安全保障、サイバーセキュリティの利益のためのセーフハーバー規定を設けるよう要請しています。

意見は、

・[PDF] Re: ITI Comments on Securities and Exchange Commission Proposed Rule on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure (RIN 3235-AM89; File Number S7-09-22)

・[DOCX] 仮訳

I. The SEC’s proposed rule could result in the disclosure of Incidents prior to the mitigation of vulnerabilities, resulting in increased cybersecurity risks	I. SECの提案するルールは、脆弱性を緩和する前にインシデントを開示することになり、結果としてサイバーセキュリティのリスクを増大させる可能性がある。
II. The SEC should delay implementation of this proposed rule and work with CISA to ensure federal coordination to the extent possible	II. SECは本規則案の実施を延期し、CISAと連携して可能な限り連邦政府の協調を確保すべきである。
III. The SEC’s proposed rule should include safe harbor provisions for law enforcement, national security, and cybersecurity interests	III. SECの規則案は、法執行、国家安全保障、サイバーセキュリティの利益に対するセーフハーバー規定を含むべきである。
IV. The SEC’s proposed cyber incident reporting requirements undermine the relevance of “materiality” and are unnecessary given its own substantial existing cybersecurity guidance	IV. SECが提案したサイバーインシデント報告要件は、「重要性」の関連性を損なうものであり、SEC自身が既存のサイバーセキュリティに関するガイダンスを充実させていることを考えると、不要なものであると言える。
V. The SEC’s proposed “four business days” reporting timeline is unreasonable because it is likely to harm registrants’ cybersecurity and unlikely to yield useful information to investors	V. SECが提案した「4営業日」という報告スケジュールは、上場登録者のサイバーセキュリティを害する可能性が高く、投資家に有用な情報をもたらす可能性が低いため、不合理である。
VI. The SEC’s proposed rule should not require the disclosure of incidents experienced by third-party technology vendors or service providers	VI. SECの規則案では、第三者の技術ベンダーやサービスプロバイダーが経験したインシデントの開示を義務付けるべきではない。
VII. While we believe several of the proposed disclosure requirements related to cyber risk management processes will help to improve investors’ awareness, we also have concerns about the prescriptive nature of some of the disclosure requirements	VII. サイバーリスク管理プロセスに関する開示要求のいくつかは、投資家の意識向上に役立つと考えるが、一部の開示要求の杓子定規な性質には懸念を抱いている。