« ・経済産業省 クレジットカード・セキュリティガイドライン【4.0版】 | Main | 警察庁 令和4年におけるサイバー空間をめぐる脅威の情勢等について »

2023.03.17

米国 SEC 米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を市場関係者向けに提案

こんにちは、丸山満彦です。

証券市場も重要インフラの一部に指定されているため、市場関係者(ブローカー・ディーラー、主要証券スワップ参加者、全国証券協会、全国証券取引所等)に対する新しいサイバーセキュリティに関する規制案をだしましたね。。。パブリックコメントにかけられるようです。。。

 

SEC

・2023.03.15 SEC Proposes New Requirements to Address Cybersecurity Risks to the U.S. Securities Markets

SEC Proposes New Requirements to Address Cybersecurity Risks to the U.S. Securities Markets SEC、米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を提案
The Securities and Exchange Commission today proposed requirements for broker-dealers, clearing agencies, major security-based swap participants, the Municipal Securities Rulemaking Board, national securities associations, national securities exchanges, security-based swap data repositories, security-based swap dealers, and transfer agents (collectively, “Market Entities”) to address their cybersecurity risks. 証券取引委員会は本日、ブローカー・ディーラー、清算機関、主要証券スワップ参加者、地方証券規則制定委員会、全国証券協会、全国証券取引所、証券スワップデータレポジトリ、証券スワップディーラー、振替機関(総称して「市場関係者」)に対し、サイバーセキュリティリスクへの対応を求める提案を行った。
“I am pleased to support this proposal because, if adopted, it would set standards for Market Entities’ cybersecurity practices,” said SEC Chair Gary Gensler. “The nature, scale, and impact of cybersecurity risks have grown significantly in recent decades. Investors, issuers, and market participants alike would benefit from knowing that these entities have in place protections fit for a digital age. This proposal would help promote every part of our mission, particularly regarding investor protection and orderly markets.” SECのGary Gensler委員長は、以下のように述べている。「本提案が採択されれば、市場参加者のサイバーセキュリティ対策に基準を設けることができるため、本提案を支持できることを嬉しく思う。サイバーセキュリティリスクの性質、規模、影響は、ここ数十年で著しく拡大していまう。投資家、発行体、市場参加者は、これらの事業体がデジタル時代にふさわしい保護措置を講じていることを知ることで、同様に利益を得ることができる。この提案は、特に投資家保護と秩序ある市場に関する、我々の使命のあらゆる部分を促進するのに役立つだろう。」
Market Entities increasingly rely on information systems to perform their functions and provide their services and thus are targets for threat actors who may seek to disrupt their functions or gain access to the data stored on the information systems for financial gain. Cybersecurity risk also can be caused by the errors of employees, service providers, or business partners. The interconnectedness of Market Entities increases the risk that a significant cybersecurity incident can simultaneously impact multiple Market Entities causing systemic harm to the U.S. securities markets. 市場参加者は、その機能を果たし、サービスを提供するために、ますます情報システムに依存しているため、その機能を妨害したり、金銭的利益を得るために情報システムに保存されているデータにアクセスしようとする脅威者のターゲットとなっている。また、サイバーセキュリティリスクは、従業員、サービスプロバイダー、ビジネスパートナーのミスによっても引き起こされる可能性がある。市場参加者が相互に関連しているため、重大なサイバーセキュリティ事件が同時に複数の市場参加者に影響を与え、米国証券市場にシステミックな損害を与えるリスクが高まっている。
The proposal would require all Market Entities to implement policies and procedures that are reasonably designed to address their cybersecurity risks and, at least annually, review and assess the design and effectiveness of their cybersecurity policies and procedures, including whether they reflect changes in cybersecurity risk over the time period covered by the review. The proposal — through new notification requirements applicable to all Market Entities and additional reporting requirements applicable to Market Entities other than certain types of small broker-dealers (collectively, “Covered Entities”) — would improve the Commission’s ability to obtain information about significant cybersecurity incidents affecting these entities. Further, new public disclosure requirements for Covered Entities would improve transparency about the cybersecurity risks that can cause adverse impacts to the U.S. securities markets. 本提案は、すべての市場関係者に対して、サイバーセキュリティリスクに対処するために合理的に設計された方針と手続きを導入し、少なくとも年1回、サイバーセキュリティ方針と手続きの設計と有効性を見直し、評価すること(見直し対象期間中のサイバーセキュリティリスクの変化を反映しているかどうかを含む)を求めるものである。この提案は、すべての市場関係者に適用される新たな通知要件と、特定の種類の小規模ブローカー・ディーラー以外の市場関係者(以下、総称して「対象事業者」)に適用される追加報告要件を通じて、これらの事業者に影響を及ぼす重大なサイバーセキュリティ事件に関する情報を得るための欧州委員会の能力を向上させる。さらに、対象事業者に対する新たな公開要件は、米国証券市場に悪影響を及ぼす可能性のあるサイバーセキュリティリスクに関する透明性を向上させるだろう。
The proposing release will be published in the Federal Register. The public comment period will remain open until 60 days after the date of publication of the proposing release in the Federal Register. 提案リリースは、連邦官報に掲載される予定である。パブリックコメント期間は、提案リリースが連邦官報に掲載された日から60日後までとなります。

 

・[PDF] Fact Sheet

20230317-70444

 

Addressing Cybersecurity Risks to the U.S. Securities Markets 米国証券市場に対するサイバーセキュリティリスクへの対応
The Securities and Exchange Commission proposed a new rule, form, and related amendments to require entities that perform critical services to support the fair, orderly, and efficient operations of the U.S. securities markets to address their cybersecurity risks. The new requirements would apply to broker-dealers, the Municipal Securities Rulemaking Board, clearing agencies, major security-based swap participants, national securities associations, national securities exchanges, security-based swap data repositories, security-based swap dealers, and transfer agents (collectively, “Market Entities”). 証券取引委員会は、米国証券市場の公正、秩序、効率的な運営を支える重要なサービスを行う事業者に対して、サイバーセキュリティリスクへの対応を求める新規則、様式、および関連する改正案を提案しました。この新しい要件は、ブローカー・ディーラー、地方証券規則制定委員会、清算機関、主要な証券ベーススワップ参加者、全国証券協会、全国証券取引所、証券ベーススワップのデータ保管機関、証券ベーススワップのディーラー、振替機関(総称して「市場関係者」)に対して適用される予定である。
Why This Matters  なぜこれが重要なのか 
The U.S. securities markets are part of the Financial Services Sector, one of the sixteen critical infrastructure sectors “whose assets, systems, and networks, whether physical or virtual, are considered so vital to the United States that their incapacitation or destruction would have a debilitating effect on security, national economic security, national public health or safety, or any combination thereof,” according to the Cybersecurity and Infrastructure Security Agency. The Financial Services Sector increasingly is being attacked by cyber threat actors who use constantly evolving and sophisticated tactics, techniques, and procedures to cause harmful cybersecurity incidents. This poses a serious risk to the U.S. securities markets. The proposal is designed to address and mitigate this risk by requiring Market Entities to take measures to protect themselves and investors from the harmful impacts of cybersecurity incidents.  米国の証券市場は金融サービス部門の一部であり、サイバーセキュリティおよびインフラセキュリティ庁によれば、「その資産、システム、およびネットワークは、物理的か仮想的かを問わず、米国にとって非常に重要であると考えられ、その無能力化または破壊は、安全、国家経済安全、国家公衆衛生もしくは安全、またはそれらの任意の組み合わせに衰弱効果を与える」重要インフラ部門の16の1つである。金融サービス部門は、常に進化し、洗練された戦術、技術、手順を用いて有害なサイバーセキュリティ事件を引き起こすサイバー脅威行為者からますます攻撃されている。これは、米国の証券市場に深刻なリスクをもたらしている。本提案は、市場関係者がサイバーセキュリティ事件の有害な影響から自身と投資家を保護するための措置を講じることを義務付けることで、このリスクに対処し、軽減することを目的としている。
How This New Rule and Form Would Apply  この新しいルールとフォームの適用方法 
Proposed new Rule 10 would require all Market Entities to establish, maintain, and enforce written policies and procedures that are reasonably designed to address their cybersecurity risks. All Market Entities also, at least annually, would be required to review and assess the design and effectiveness of their cybersecurity policies and procedures, including whether they reflect changes in cybersecurity risk over the time period covered by the review. All Market Entities also would need to give the Commission immediate written electronic notice of a significant cybersecurity incident upon having a reasonable basis to conclude that the significant cybersecurity incident had occurred or is occurring.  提案された新規則10は、すべての市場参加者に対し、サイバーセキュリティリスクに対処するために合理的に設計された書面による方針および手続きを確立し、維持し、実施することを求める。また、すべての市場参加者は、少なくとも年1回、サイバーセキュリティの方針と手続きの設計と有効性をレビューし、レビューの対象となる期間中のサイバーセキュリティリスクの変化を反映しているかどうかを含め、評価することが求められる。また、すべての市場参加者は、重大なサイバーセキュリティ・インシデントが発生した、または発生していると結論づける合理的な根拠がある場合、直ちに電子文書で委員会に通知する必要がある。
Market Entities—other than certain types of small broker-dealers—would be subject to additional requirements under proposed new Rule 10 as “Covered Entities.”  特定の種類の小規模ブローカー・ディーラー以外の市場関係者は、「対象事業者」として、提案された新しい規則10の下で追加の要件を受けることになる。
First, the proposed rule would require Covered Entities to adopt policies and procedures to address cybersecurity risks would need to specifically include the following:  まず、本規則案では、サイバーセキュリティリスクに対処するための方針および手続を採用することを対象事業者に求めており、具体的には以下の事項を含む必要がある。
•       Periodic assessments of cybersecurity risks associated with the Covered Entity’s information systems and written documentation of the risk assessments;  ・対象事業者の情報システムに関連するサイバーセキュリティリスクの定期的な評価と,リスク評価の文書化。
•       Controls designed to minimize user-related risks and prevent unauthorized access to the Covered Entity’s information systems;  ・ユーザー関連のリスクを最小化し,対象事業者の情報システムへの不正アクセスを防止するために設計された統制。
•       Measures designed to monitor the Covered Entity’s information systems and protect the Covered Entity’s information from unauthorized access or use, and oversee service providers that receive, maintain, or process information or are otherwise permitted to access the Covered Entity’s information systems;  ・対象事業者の情報システムを監視し,対象事業者の情報を不正なアクセスまたは使用から保護し,情報を受領,維持,処理するサービスプロバイダを監督し,その他対象事業者の情報システムへのアクセスを許可されるように設計された対策。
•       Measures to detect, mitigate, and remediate any cybersecurity threats and vulnerabilities with respect to the Covered Entity’s information systems; and  ・対象事業者の情報システムに関するサイバーセキュリティの脅威および脆弱性を検出,軽減および是正するための措置。
•       Measures to detect, respond to, and recover from a cybersecurity incident and procedures to create written documentation of any cybersecurity incident and the response to and recovery from the incident.  ・サイバーセキュリティインシデントの検出,対応,回復のための措置,およびサイバーセキュリティインシデント,インシデントへの対応,回復のための書面を作成する手続き。
Second, after providing immediate written electronic notice of a significant cybersecurity incident, Covered Entities would need to report to the Commission and update information about the significant cybersecurity incident by filing Part I of proposed Form SCIR. The form would elicit information about the significant cybersecurity incident and the Covered Entity’s efforts to respond to and recover from the incident.  第二に、重大なサイバーセキュリティ・インシデントを電子的に書面で即時通知した後、対象事業者は、提案されているフォームSCIRのパートIを提出することにより、重大なサイバーセキュリティ・インシデントに関する情報を委員会に報告し更新する必要がある。このフォームでは、重大なサイバーセキュリティインシデントと、そのインシデントに対応し回復するための対象事業者の取り組みに関する情報を引き出すことになる。
Third, the proposal would require Covered Entities to publicly disclose summary descriptions of their cybersecurity risks and the significant cybersecurity incidents they experienced during the current or previous calendar year on Part II of proposed Form SCIR. A Covered Entity would need to file the form with the Commission and post it on its website. Covered Entities that are carrying or introducing broker-dealers would also need to provide the form to customers at account opening, when information on the form is updated, and annually.  第三に、本提案は、対象事業者に対し、Form SCIRのパートIIにおいて、サイバーセキュリティリスクの概要説明と、現在または前暦年に経験した重要なサイバーセキュリティインシデントを公に開示することを要求するものである。対象事業者は、このフォームを欧州委員会に提出し、そのウェブサイトに掲載する必要がある。また、証券会社や紹介会社である対象事業者は、口座開設時、フォームの情報が更新されたとき、および毎年、顧客にフォームを提供する必要がある。
Additional Information:  追加情報 
The public comment period will remain open until 60 days after the date of publication of the proposing release in the Federal Register.  パブリックコメント期間は、連邦官報に提案リリースが掲載された日から60日後までである。

 

 

|

« ・経済産業省 クレジットカード・セキュリティガイドライン【4.0版】 | Main | 警察庁 令和4年におけるサイバー空間をめぐる脅威の情勢等について »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ・経済産業省 クレジットカード・セキュリティガイドライン【4.0版】 | Main | 警察庁 令和4年におけるサイバー空間をめぐる脅威の情勢等について »