米国 AICPA SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと

こんにちは、丸山満彦です。

サイバーセキュリティに関するSECの開示ルールが2023年12月15日以降に終了する事業年度の年次報告書から義務付けられ、2023年12月18日（小規模報告企業は2024年6月15日）以降、企業はサイバーセキュリティに関する重要なインシデントが発生したと判断した場合、4営業日以内に開示することが求められるわけですが、、、

AICPA & CIMAからSECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきことという文書が公表されていますね。。。

● AICPA & CIMA

・2023.09.18 What Management Needs to Know About the New SEC Cybersecurity Disclosure Rules

 

・[PDF]

 

What Management Needs to Know About the New SEC Cybersecurity Disclosure Rules	SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
Contents	目次
What management needs to know about the new SEC cybersecurity disclosure rules	SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
Certifications regarding disclosure controls and procedures	開示の統制と手続に関する証明
Disclosing material cybersecurity incidents	重要なサイバーセキュリティインシデントの開示
Disclosing cybersecurity risk management and strategy	サイバーセキュリティのリスクマネジメントと戦略の開示
Cybersecurity governance and board oversight	サイバーセキュリティガバナンスと取締役会の監督
Additional resources	その他のリソース
Endnotes	巻末資料
What management needs to know about the new SEC cybersecurity disclosure rules	SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
In July of 2023, the SEC adopted rules requiring registrants that are subject to the reporting requirements of the Securities Exchange Act of 1934 to make timely disclosure of material cybersecurity incidents as well as annual disclosure of information regarding their cybersecurity risk management, strategy, and governance. The new annual disclosures will be required starting with annual reports for fiscal years ending on or after December 15, 2023, and will be subject to CEO and CFO Section 302(a) certifications, meaning the assessment of the design and effectiveness of disclosure controls and procedures will need to incorporate the new cybersecurity disclosures. These disclosures cover topics in which the CEO and CFO may not have a high level of expertise. Those responsible for managing cybersecurity (e.g., chief information officer [CIO] or chief information security officer [CISO]) will be providing information for disclosure in SEC filings, requiring a new level of responsibility and accountability. Boards and their relevant committees should also be aware that these new rules require disclosures regarding oversight of cybersecurity risks and consider whether they need to enhance their oversight of the entity’s cybersecurity program in light of the new disclosure requirements.	2023年7月、SECは、1934年証券取引法の報告義務の対象となる登録企業に対し、サイバーセキュリティに関する重要なインシデントの適時開示に加え、サイバーセキュリティのリスクマネジメント、戦略、ガバナンスに関する情報の年次開示を義務付ける規則を採択した。この新しい年次開示は、2023年12月15日以降に終了する事業年度の年次報告書から義務付けられ、最高経営責任者（CEO）および最高財務責任者（CFO）の第302条(a)証明書の対象となる。これらの開示は、最高経営責任者（CEO）や最高財務責任者（CFO）が高度な専門知識を有していない可能性のあるトピックをカバーしている。サイバーセキュリティの管理責任者（最高情報責任者（CIO）や最高情報セキュリティ責任者（CISO）など）は、SEC提出書類で開示する情報を提供することになり、新たなレベルの責任と説明責任が求められる。また、取締役会とその関連委員会は、これらの新規則がサイバーセキュリティリスクの監督に関する開示を要求していることを認識し、新たな開示要件に照らして事業体のサイバーセキュリティプログラムの監督を強化する必要があるかどうかを検討する必要がある。
Cybersecurity information disclosed in SEC filings, including information about material cybersecurity incidents and the company’s risk management, strategy, and governance, is likely to invite scrutiny by the SEC, investors and others. Inconsistencies between the required cybersecurity disclosures and communications on company websites or other public forums could lead to unwanted negative attention or action by regulators and others.	重要なサイバーセキュリティインシデントや企業のリスクマネジメント戦略、ガバナンスに関する情報など、SEC提出書類で開示されるサイバーセキュリティ情報は、SECや投資家などによる精査を招く可能性が高い。必要とされるサイバーセキュリティの開示と、企業のウェブサイトやその他の公的な場でのコミュニケーションとの間に矛盾があれば、規制当局などによる不本意な否定的注目や行動につながる可能性がある。
THE IMPORTANCE OF ACCURATE COMMUNICATIONS	正確なコミュニケーションの重要性
Companies have been subject to SEC enforcement actions regarding cybersecurity disclosures that were inconsistent with facts revealed as a result of cybersecurity events. For example, in 2001 Pearson plc agreed to pay $1 million to settle charges that it misled investors about a 2018 cyber intrusion and had inadequate disclosure controls and procedures when they referred to a data privacy incident as a hypothetical risk, when, in fact, the 2018 cyber intrusion had already occurred.1	サイバーセキュリティの開示が、サイバーセキュリティの事象の結果として明らかになった事実と矛盾していたとして、企業がSECの強制措置の対象となったことがある。例えば、2001年にピアソン・ピーエルシーは、2018年のサイバー侵入について投資家に誤解を与え、実際には2018年のサイバー侵入がすでに発生していたにもかかわらず、データ・プライバシー・インシデントを仮定のリスクとして言及し、開示統制と手続が不十分であったとして、100万ドルの支払いに合意した1。
Certifications regarding disclosure controls and procedures	開示の統制と手続に関する証明
Section 302(a) of the Sarbanes-Oxley Act of 2002 requires the CEO and CFO (or their equivalent) to certify the financial and other information contained in the registrant’s forms 10-K. Among other things, these executives certify that they have designed disclosure controls and procedures (DC&P) to ensure that they are made aware of material information.2 The controls and processes the entity has in place to manage its cybersecurity disclosures are part of DC&P and should be considered when making certifications.	2002年サーベンス・オクスリー法第302条(a)は、最高経営責任者（CEO）および最高財務責任者（CFO）（またはそれに相当する者）に対し、登録者のフォーム10-Kに含まれる財務情報およびその他の情報を証明するよう求めている。とりわけ、これらの経営幹部は、重要な情報を確実に把握するための開示の統制と手続（DC&P） を設計していることを証明する2 。事業体がサイバーセキュリティの開示を管理するために導入している統制とプロセ スは、DC&P の一部であり、証明書を作成する際に考慮すべきである。
Although there are no certification requirements for the 8-K, SEC rules require that DC&P be designed, maintained and evaluated to ensure full and timely disclosure in current reports.3 In other words, even though the CEO and CFO do not have to certify DC&P on form 8-K, they are still responsible for establishing controls and procedures to ensure proper disclosure of material cybersecurity incidents and should be comfortable that they are getting complete and accurate information on a timely basis in order to appropriately disclose material cybersecurity incidents.	8-K には証明要件はないが、SEC 規則は、最新の報告書において完全かつタイムリーな開示を確実にするために、 DC&P を設計し、維持し、評価することを求めている3。言い換えれば、CEO と CFO は、フォーム 8-K 上で DC&P を証明する必要はないとしても、重要なサイバーセキュリティインシデントを適切に開示の統制と手続を確立する責任があり、重要なサイバーセキュリティインシデントを適切に開示するために、完全かつ正確な情報を適時に入手していることに安心すべきなのである。
The information necessary for cyber-related disclosures generally originates with those responsible for managing cybersecurity risks. CEOs and CFOs will need to work with that individual or group of individuals to determine whether current disclosure procedures adequately address information that is required to be disclosed for material cyber incidents as well as cybersecurity risk management strategies and oversight. Some companies may simply need to incorporate existing informal or ad hoc controls and procedures for communicating cyber-related information into the system of disclosure controls and procedures. Other companies may need to build out their existing system of disclosure controls and procedures to include required cybersecurity information.	サイバー関連の開示に必要な情報は、一般的にサイバーセキュリティ・リスクのマネジメント責任者から発信される。最高経営責任者（CEO）や最高財務責任者（CFO）は、重要なサイバーインシデントやサイバーセキュリティ・リスクマネジメント戦略・監督について、現在の開示手続が開示すべき情報に適切に対応しているかどうかを判断するために、その個人やグループと協力する必要がある。企業によっては、サイバー関連情報を伝達するための既存の非公式または場当たり的な統制及び手続を開示統制及び手続の体系に組み込むだけでよい場合もある。また、必要なサイバーセキュリティ情報を含めるために、既存の開示統制・手続システムを構築する必要がある企業もあるだろう。
The information necessary for cyber-related disclosures generally originates with those responsible for managing cybersecurity risks.	サイバー関連の開示に必要な情報は、一般的にサイバーセキュリティリスクマネジメントの責任者から発信される。
Disclosing material cybersecurity incidents	重要なサイバーセキュリティインシデントの開示
Starting December 18, 2023 (June 15, 2024 for smaller reporting companies) companies will be required to disclose material cybersecurity incidents within four business days of determining that they are material. Although those responsible for managing cybersecurity risks should have already been communicating information about cybersecurity incidents internally or externally due to laws or regulations (including existing SEC requirements), the specificity associated with the new requirements may result in additional scrutiny and responsibility. If information about material incidents is not disclosed, or these disclosures are insufficient, inaccurate, or not timely, the company and individuals within the company may be subject to SEC inquiries or enforcement actions.	2023年12月18日（小規模報告企業は2024年6月15日）以降、企業はサイバーセキュリティに関する重要なインシデントが発生したと判断した場合、4営業日以内に開示することが求められる。サイバーセキュリティ・リスクをマネジメントする責任者は、法律や規制（既存のSECの要件を含む）により、サイバーセキュリティ・インシデントに関する情報をすでに社内外に伝達しているはずであるが、新たな要件に関連する具体性により、さらなる精査と責任が生じる可能性がある。重要なインシデントに関する情報が開示されなかったり、開示が不十分であったり、不正確であったり、タイムリーでなかったりした場合、会社や会社内の個人はSECの照会や強制措置の対象となる可能性がある。
As noted above, processes should be in place to ensure those in charge of cybersecurity risk management communicate events to those in charge of SEC disclosures in a timely manner so that the need for disclosure can be evaluated and, if needed, disclosures made. Guidance may be needed to help those who manage cybersecurity risk understand the type of information that needs to be provided to those preparing the disclosures so that those incidents determined to be material for reporting can be appropriately reported.	上述のように、サイバーセキュリティリスクマネジメントの担当者が、開示の必要性を評価し、必要であれば開示を行うことができるように、SECの開示担当者にタイムリーに事象を伝達するプロセスを確保すべきである。報告にとって重要であると判断されたインシデントが適切に報告されるように、サイバーセキュリティ・リスクを管理する担当者が、開示を準備する担当者に提供する必要がある情報の種類を理解できるようにするためのガイダンスが必要かもしれない。
Determining materiality is key to knowing which cybersecurity incidents need to be disclosed. Both executive management and those responsible for managing cybersecurity risks should be informed and involved in evaluations regarding materiality and whether an incident needs to be disclosed. Various parties (e.g., CISO, CIO, CEO, CFO, legal, board) may have different frames of reference that are relevant for determining whether an incident should be communicated. For example, the SEC’s materiality threshold5 may be different than other thresholds currently used to communicate incidents to other regulatory agencies and affected parties as required by law.6 It is also important to note that the SEC definition of a cybersecurity incident includes a series of related unauthorized occurrences. This means that disclosure requirements apply if related occurrences are material as a whole, even if each individual occurrence is immaterial.	重要性の判断は、どのサイバーセキュリティインシデントを開示する必要があるかを知るための鍵である。経営幹部とサイバーセキュリティリスクを管理する責任者の両方が、重要性とインシデントが開示される必要があるかどうかに関する評価に情報を提供し、関与する必要がある。様々な関係者（例えば、CISO、CIO、CEO、CFO、法務部、取締役会）が、インシデントを伝達すべきかどうかを判断するために関連する異なる参照枠を持っている可能性がある。例えば、SEC の重要性の閾値5 は、法律で義務付けられているように、インシデントを他の規制 機関や影響を受ける関係者に伝達するために現在使用されている他の閾値とは異なる可能性がある6。これは、関連する発生が全体として重要であれば、個々の発生が重要でなくても、開示要件が適用されることを意味する。
Companies must make their materiality determinations “without unreasonable delay.” For example, the SEC has noted that if the materiality determination is to be made by a board committee, intentionally deferring the committee meeting past the normal time it would take to convene members may constitute an unreasonable delay.7 Management may want to document who is ultimately responsible for making the materiality determination and criteria for determining what would constitute an unreasonable delay before they identify an incident that could be material.	企業は、重要性の決定を「不合理な遅延なく」行わなければならない。例えば、SECは、重要性の判断が取締役会の委員会により行われる場合、委員を招集するために通常要する時間を超えて委員会の開催を意図的に延期することは、不合理な遅延に該当する可能性があると指摘している7。経営者は、重要性の可能性があるインシデントを特定する前に、誰が重要性の判断の最終責任者であるか、また何が不合理な遅延に該当するかを判断する基準を文書化しておくとよいであろう。
CYBERSECURITY INCIDENT DISCLOSURES (8-K)4	サイバーセキュリティインシデントの開示（8-K）4
+ Disclose any cybersecurity  incident the registrant experiences that is determined to be material, describing:	・重要であると判断されたサイバーセキュリティインシデントを開示する：
·  The material aspects of the nature, scope, and timing of the incident; and	- インシデントの性質、範囲、および時期に関する重要な側面。
·  The material impact or reasonably likely material impact of the incident on the registrant, including its financial condition and results of operations.	- インシデントの性質、範囲、タイミングの重要な側面、および財務状況や経営成績など、インシデントが登録者に及ぼす重大な影響または合理的に起こりうる重大な影響。
+ Form 8-K must be filed  within four business days of determining that an incident is material.	・フォーム8-Kは,インシデントが重要であると判断してから4営業日以内に提出しなければならない。
+ A filing may be delayed if  the U.S. Attorney General determines immediate disclosure would pose a substantial risk to national security or public safety.	・米国司法長官が,即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断した場合は,提出を延期することができる。
+ Information is material  if there is a substantial likelihood that a reasonable shareholder would consider it important in making an investment decision, or if it would have significantly altered the total mix of information made available.	・合理的な株主が投資判断をする際にその情報を重要視する可能性が高い場合,またはその情報が入手可能な情報の組み合わせを大きく変える可能性がある場合,その情報は重要である。
Comparable disclosures are required by foreign private issuers on Form 6-K.	外国の非公開発行体には、Form 6-Kで同等の開示が求められている。
Disclosing cybersecurity risk management and strategy	サイバーセキュリティのリスクマネジメントと戦略の開示
In addition to disclosing material cybersecurity incidents, the rules require companies to disclose information about their cybersecurity risk management processes and strategy, beginning with the annual report for any period ending on or after December 15, 2023. Management and the SEC disclosure team should work with those responsible for managing cybersecurity risks to ensure they have an adequate understanding of the company’s process for identifying, managing, and overseeing cybersecurity risks so that proper disclosure can be made in the 10-K.	重要なサイバーセキュリティインシデントの開示に加え、2023年12月15日以降に終了する期間の年次報告書から、企業はサイバーセキュリティリスクマネジメントのプロセスと戦略に関する情報を開示することが規則で義務付けられている。経営陣とSECのディスクロージャー・チームは、サイバーセキュリティ・リスクの管理責任者と協力して、サイバーセキュリティ・リスクを特定、管理、監督するための会社のプロセスを十分に理解し、10-Kで適切な開示ができるようにすべきである。
While the new rules provide some specific information that should be disclosed when describing the company’s processes for assessing, identifying, and managing material risks from cybersecurity threats, it also notes that the specific information is not all-inclusive and that registrants should also disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes. The AICPA’s Description Criteria for Management’s Description of the Entity’s Cybersecurity Risk Management Program presents multiple criteria that management may consider when determining what information a reasonable investor may find useful in understanding the company’s cybersecurity processes. This framework may also be useful in determining what to communicate with the board or other stakeholders.	新規則は、サイバーセキュリティの脅威による重大なリスクをアセスメントし、特定し、マネジメントするための会社のプロセスを説明する際に開示すべきいくつかの具体的な情報を提供しているが、具体的な情報はすべてを網羅するものではなく、登録者は、合理的な投資家が自社のサイバーセキュリティ・プロセスを理解するために、自社の事実と状況に基づいて必要なあらゆる情報も開示すべきであると指摘している。AICPAの「事業体のサイバーセキュリティ・リスクマネジメント・プログラムに関するマネジメントの説明のための記述基準（Description Criteria for Management's Description of the Entity's Cybersecurity Risk Management Program）」は、合理的な投資家が会社のサイバーセキュリティ・プロセスを理解する上で有用と思われる情報を決定する際に、マネジメントが考慮しうる複数の基準を提示している。このフレームワークは、取締役会やその他の利害関係者と何をコミュニケーションすべきかを決定する際にも有用であろう。
RISK MANAGEMENT AND STRATEGY DISCLOSURES (10-K)8	リスクマネジメントと戦略の開示（10-K）8
+ The registrant’s processes, if any, for  assessing, identifying, and managing material risks from cybersecurity threats in sufficient detail for a reasonable investor to understand those process.	・サイバーセキュリティの脅威による重大なリスクをアセスメントし、識別し、マネジメントするための登録者のプロセスがある場合は、合理的な投資家がそれらのプロセスを理解できるよう十分に詳細に記載する。
Including whether:	以下を含む：
·  The described cybersecurity processes have been integrated into the registrant’s overall risk management system or process, and if so, how;	- 説明されているサイバーセキュリティプロセスが、登録者の全体的なリスクマネジメントシステムまたはプロセスに統合されているかどうか、統合されている場合はその方法；
·  The registrant engages assessors, consultants, auditors, or other third parties in connection with any such processes; and	- 登録者は、そのようなプロセスに関連して、評価者、コンサルタント、監査人、またはその他のサードパーティを雇用しているか。
·  The registrant has processes to oversee and identify material risks from cybersecurity threats associated with its use of any third- party service provider	- 登録者は、サードパーティ・サービス・プロバイダの使用に関連するサイバーセキュリティの脅威による重大なリスクを監督し、識別するプロセスを有している。
The above list is not all-inclusive. Registrants should additionally disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes.	上記のリストはすべてを網羅するものではない。登録者は、合理的な投資家が自社のサイバーセキュリティプロセスを理解するために、自社の事実と状況に基づき必要な情報を追加的に開示すべきである。
+ Whether any risks from cybersecurity  threats, including as a result of any previous cybersecurity incidents, have materially affected or are reasonably likely to materially affect the registrant, including its business strategy, results of operations, or financial conditions and if so, how.	・サイバーセキュリティの脅威によるリスク（過去のサイバーセキュリティインシデントの結果を含む）が、事業戦略、経営成績、財務状況など、登録者に重大な影響を与えたか、または与える可能性があるかどうか、また与える可能性がある場合はどのように与えるか。
Comparable disclosures are required by foreign private issuers on Form 20-F.	外国の非公開発行体には、Form 20-Fで同等の開示が義務付けられている。
Managing Risk from Service Providers	サービスプロバイダーからのリスクマネジメント
The SEC has noted an increasing number of cybersecurity incidents pertain to service providers.9 Because of the associated risk, the rules require disclosure of whether the company has processes to oversee and identify the cybersecurity risks associated with its use of any third-party service providers. A System and Organization Controls (SOC) 2® report from a service provider can be an important component of an effective strategy for managing the cybersecurity risks of service providers. While similar in structure and content to the SOC 1® reports used in evaluating internal control over financial reporting, SOC 2 reports provide information for evaluating the internal control of service providers on other matters. The culmination of an examination performed by an independent CPA, a SOC 2 report can address controls relevant to the security, availability and processing integrity of the systems used to provide services to its users and the confidentiality and privacy of the information these systems process. Management can use a SOC 2 report in its evaluation of certain risks associated with doing business with the service provider.	SECは、サービス・プロバイダに関するサイバーセキュリティ・インシデントが増加していることを指摘している9 。このようなインシデントにはリスクが伴うため、SECは、サードパーティ・サービス・プロバイダの利用に関連するサイバーセキュリティ・リスクを監督・特定するプロセスを会社が有しているかどうかの開示を義務付けている。サービス・プロバイダからのSOC（System and Organization Controls）2®報告書は、サービス・プロバイダのサイバーセキュリティ・リスクをマネージするための効果的な戦略の重要な構成要素となり得る。SOC 2報告書は、財務報告に係る内部統制の評価に使用されるSOC 1®報告書と同様の構成および内容であるが、その他の事項に関するサービス・プロバイダの内部統制を評価するための情報を提供するものである。独立した公認会計士による検査の集大成であるSOC 2報告書は、ユーザーへのサービス提供に使用されるシステムのセキュリティ、可用性、処理の完全性、およびこれらのシステムが処理する情報の機密性とプライバシーに関連する統制を取り上げることができる。マネジメントは、サービス・プロバイダとの取引に関連する特定のリスクの評価にSOC 2報告書を利用することができる。
Cybersecurity governance and board oversight	サイバーセキュリティガバナンスと取締役会の監督
The new SEC requirements include disclosure about both management and the board’s oversight of cybersecurity risk. As part of their oversight, the board may evaluate whether the company’s cybersecurity risk management program is sufficiently robust, or if there are gaps that should be filled. Management related disclosures include a discussion of the relevant expertise of those members of management responsible for measuring and managing cybersecurity risk.	SEC の新しい要件には、サイバーセキュリティリスクに関するマネジメントと取締役会の監督に関する開示が含まれている。取締役会は、その監督の一環として、会社のサイバーセキュリティ・リスクマネジメント・プログラムが十分に強固であるかどうか、あるいは埋めるべきギャップがあるかどうかを評価することができる。マネジメントに関連する開示には、サイバーセキュリティリスクの測定と管理を担当するマネジメントメンバーの関連する専門知識についての議論が含まれる。
Management should be prepared to provide support as board members exercise their oversight responsibilities. An open and frequently utilized line of communication between the board and those responsible for managing cybersecuirty risk will make it easier to address cybersecurity concerns real-time and before an incident occurs.	経営陣は、取締役会のメンバーが監督責任を行使する際にサポートを提供できるように準備しておく必要がある。取締役会とサイバーセキュリティリスクマネジメントの責任者との間にオープンで頻繁に利用されるコミュニケーションラインがあれば、サイバーセキュリティに関する懸念にリアルタイムで、インシデントが発生する前に対処することが容易になる。
Management may expect questions from the board, such as the following,11 as the board obtains an understanding of the company’s cybersecurity risk management process:	取締役会が会社のサイバーセキュリティ・リスク管理プロセスを理解するために、マネジメントは取締役会から以下のような質問11 を受けることがある：
What framework, if any, does management use in designing their cybersecurity risk management program (e.g., NIST CSF, ISO/IEC 27001/27002, SEC cybersecurity guidelines, AICPA Trust Services Criteria)?	経営陣は、サイバーセキュリティリスクマネジメントプログラムの設計にどのようなフレームワーク（NIST CSF、ISO/IEC 27001/27002、SEC サイバーセキュリティガイドライン、AICPA トラストサービス基準など）を使用しているか。
+  What framework, if any, does management use in communicating pertinent information about its cybersecurity management program?	・経営陣は、サイバーセキュリティ管理プログラムに関する適切な情報をコミュニケーショ ンする際に、どのようなフレームワークを使用しているか（もしあれば）。
+  What processes and programs are in place to periodically evaluate the cybersecurity risk management program and related controls?	・サイバーセキュリティリスクマネジメントプログラムと関連する統制を定期的に評価するために,どのようなプロセスとプログラムがあるか。
+  What cybersecurity policies, processes, and controls are in place to detect, respond to, mitigate, and recover from – on a timely basis – cybersecurity events that are not prevented?	・防止できなかったサイバーセキュリティ事象をタイムリーに検知,対応,軽減,回復するために,どのようなサイバーセキュリティポリシー,プロセス,統制が整備されているか。
+  In the event of a cybersecurity breach, what controls are in place to help ensure that the IT department and appropriate senior management (including board members charged with governance) are informed and engaged on a timely basis—and that other appropriate responses and communications take place?	・サイバーセキュリティ侵害が発生した場合、IT 部門および適切な上級管理職（ガバナンスを担 当する取締役会メンバーを含む）にタイムリーに情報を提供し、関与させ、その他の適切な対応とコ ミュニケーションを実施するために、どのような統制が整備されているか。
+  What policies, processes and controls are in place to address the impact to the company of a cybersecurity breach at significant/relevant vendors and business partners with whom the company shares sensitive information? Do those policies include risk identification and mitigation procedures?	・重要/関連性の高いベンダーや,機密情報を共有するビジネス・パートナーにおけるサイバーセキュリティ侵害が会社に与える影響に対処するために,どのような方針,プロセス,統制が整備されているか。それらのポリシーには,リスクの特定と低減の手順が含まれているか。
+  Has the company conducted a cyber event simulation as part of its approach to enterprise risk management?	・エンタープライズリスクマネジメントの一環として,サイバーイベントのシミュレーショ ンを実施したか。
+  Has the company considered cost mitigation/risk transfer options in the form of cyber insurance coverage in the event of a cybersecurity breach?	・サイバーセキュリティ侵害が発生した場合に、サイバー保険の適用という形でコスト低減／リスク移転の選択肢を検討したか。
+  Does the company have adequate staff with appropriate skills to design and operate an effective cybersecurity risk management program?	・会社は,効果的なサイバーセキュリティリスクマネジメントプログラムを設計し,運用するための適切なスキルを持つ適切なスタッフを有しているか。
Given the emphasis on materiality, the board may also ask questions such as the following to understand how materiality of a cybersecurity incident is being evaluated:	重要性が重視されていることから、取締役会は、サイバーセキュリティインシデントの重要性がどのように評 価されているかを理解するために、次のような質問をすることもある：
+  How do we validate that the process for determining materiality is sound and thoroughly documented?	・重要性を決定するプロセスが健全であり,十分に文書化されていることをどのように検証するか。
+  Has the company created a method to track related occurrences to see if they qualify as being material?	・会社は,関連する発生を追跡して,それらが重要であると認定されるかどうかを確認する方法を作成したか？
INLINE EXTENSIBLE BUSINESS REPORTING LANGUAGE (XBRL)10	インライン拡張ビジネス報告言語（XBRL）10
All registrants must tag disclosures required under the final rules in Inline XBRL beginning one year after initial compliance with the related disclosure requirement.	すべての登録会社は、関連する開示要件の初回遵守から1年後に、最終規則に基づき要求される開示をインラインXBRLでタグ付けしなければならない。
DISCLOSING CYBERSECURITY RISK GOVERNANCE (10-K)12	サイバーセキュリティリスクガバナンスの開示（10-K）12
+ Description of the board’s  oversight of risks from cybersecurity threats and:	・サイバーセキュリティの脅威とリスクに対する取締役会の監督についての説明：
·  Identification of any board committee or subcommittee responsible for such oversight (if applicable); and	- サイバーセキュリティの脅威によるリスクに対する取締役会の監視の説明と、そのような監視を担当する取締役会の委員会または分科委員会の特定（該当する場合）。
·  Description of the process by which the board (or committee) is informed about such risks.	- 取締役会（または委員会）がそのようなリスクについて報告を受けるプロセスの説明。
+ Management’s role in  assessing and managing material risks from cybersecurity threats.	・サイバーセキュリティの脅威による重大リスクのアセスメントと管理におけるマネジメントの役割。
Including:	以下を含む：
·  Whether and which management positions or committees are responsible for assessing and managing such risks, and the relevant expertise of such persons or members in such detail as necessary to fully describe the nature of the expertise;	- そのようなリスクのアセスメントと管理に責任を負うマネジメントの役職または委員会の有無と、そのような役職または委員会のメンバーの関連する専門知識を、その専門知識の性質を十分に説明するために必要な限り詳細に記載する；
·  The processes by which such persons or committees are informed about and monitor the prevention, mitigation, detection, and remediation of cybersecurity incidents; and	- そのような担当者または委員会が、サイバーセキュリティインシデントの予防、低減、検知、および是正について通知を受け、監視するプロセス。
·  Whether such persons or committees report information about such risks to the board of directors or a committee or subcommittee of the board of directors	- そのような担当者または委員会が、そのようなリスクに関する情報を取締役会または取締役会の委員会もしくは小委員会に報告するかどうか。
The above list is not all-inclusive. Registrants should additionally disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes.	上記のリストはすべてを網羅するものではない。登録者は、合理的な投資家が自社のサイバーセキュリティプロセスを理解するために、自社の事実と状況に基づいて必要な情報を追加的に開示すべきである。
Comparable disclosures are required by foreign private issuers on Form 20-F.	同様の開示は、外国の非公開発行体がフォーム20-Fで要求している。
CPAs CAN HELP!	公認会計士も協力できる！
Start a conversation with your CPA. In addition to being well versed in SEC disclosure, CPAs understand business and financial risk. Cybersecurity is another type of risk that a business must manage, and CPAs are able to put cybersecurity risks in perspective against other business risks that their clients may be facing. CPAs understand the environment in which businesses operate, and can use their knowledge of the client’s industry and local market influences to help offer perspective about how cybersecurity considerations fit with other business risks. In addition to providing insights regarding cybersecurity disclosures, CPAs can assess and report on cybersecurity processes and disclosures. Obtaining any level of assurance by a CPA involves obtaining an understanding of the processes, systems, and data, as appropriate, and then assessing the findings in order to support an opinion or conclusion. Further, CPAs:	公認会計士と話を始めよう。公認会計士はSECの情報開示に精通しているだけでなく、ビジネスリスクや財務リスクを理解している。サイバーセキュリティは、ビジネスがマネジメントしなければならないもう一つのタイプのリスクであり、CPAは、クライアントが直面しているかもしれない他のビジネスリスクと照らし合わせてサイバーセキュリティのリスクを考えることができる。公認会計士はビジネス環境を理解しており、クライアントの業界や地域市場の影響に関する知識を活用して、サイバーセキュリティへの配慮が他のビジネスリスクとどのように適合するかという視点を提供することができる。サイバーセキュリティの開示に関する見識を提供するだけでなく、公認会計士はサイバーセキュリティのプロセスと開示に関する評価と報告も行うことができる。公認会計士がどのようなレベルの保証を取得する場合でも、プロセス、システム、データについて適宜理解を深め、意見または結論を裏付けるために所見を評価することが含まれる。さらに、公認会計士は次のような能力を有している：
+  Have a long history of and are highly experienced at independently gathering evidence to assess internal controls and the reliability and accuracy of data and information that is used to make decisions and is reported externally.	・内部統制や、意思決定に使用され外部に報告されるデータおよび情報の信頼性と正確性を評価するための証拠を独自に収集することに長い歴史があり、その経験も豊富である。
+  Are required by professional standards to plan and perform assurance engagements with professional skepticism.	・専門家として懐疑的に保証業務を計画し,実施することが標準によって要求されている。
+  Are experienced in reporting on compliance with various established standards and frameworks.	・様々な標準やフレームワークへの準拠を報告する経験を有する。
+  Are required to maintain a system of quality control that is designed to provide the CPA firm with confidence that its engagement partners and staff complied with applicable standards and the reports issued by the CPA firm are appropriate.	・公認会計士事務所には、その業務執行社員及びスタッフが適用される基準を遵守し、公認会計士事務所が発行する報告書が適切であるとの確信を提供するように設計された品質管理システムを維持することを求められている。
+  Are required to adhere to continuing professional education, independence, ethics and experience requirements, including specialized training.	・継続的な専門教育、独立性、倫理及び経験（専門教育を含む）の遵守が求められる。
Additional resources	その他のリソース
+  Helping Companies Meet the Challenges of Managing Cybersecurity Risk	・サイバーセキュリティリスクマネジメントの課題への企業の対応を支援する。
+ Cybersecurity Risk Management Oversight: A Tool for Board Members	・サイバーセキュリティ・リスクマネジメントの監督: 取締役会メンバーのためのツール
+ SOC for Cybersecurity: Information for organizations	・サイバーセキュリティのためのSOC: 組織のための情報
+ CGMA Cybersecurity Tool	・CGMAのサイバーセキュリティツール
+ AICPA’s Description Criteria for Management’s Description of the Entity’s Cybersecurity Risk Management Program	・事業体のサイバーセキュリティ・リスク管理プログラムに関するマネジメントの説明のための AICPA の説明基準
+ AICPA’s Trust Services Criteria	・AICPA のトラストサービス基準

 

Endnotes

1   Source: https://www.sec.gov/news/press-release/2021-154

2   Source: https://www.sec.gov/rules/final/33-8124.htm Exchange Act Rules 13a-14 and 15d-14

3   Source: https://www.sec.gov/rules/final/33-8124.htm

4   Source: https://www.sec.gov/rules/final/2023/33-11216.pdf

5   According to the SEC’s discussion of the final amendments , “information is material if ‘there is a substantial likelihood that a reasonable shareholder would  consider it important in making an investment decision, or if it would have ‘significantly altered the ‘total mix’ of information made available.’” Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Final Rule (pg 80) SECの最終改正に関する議論によると、「合理的な株主が投資判断を行う際に重要視する可能性が相当程度ある場合、または入手可能な情報の "総合的な組み合わせ "を大幅に変更する可能性がある場合、その情報は重要である」とされている。 https://www.sec.gov/rules/final/2023/33-11216.pdf

6   The proposed rule discussion materials noted several cybersecurity incident disclosure requirements adopted by various industry regulators and contractual counterparties and stated that “All of the aforementioned data breach disclosure requirements may cover some of the material incidents that companies would need to report under the proposed amendments, but not all incidents.” Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Proposed Rule (pg 58) 規則案の討議資料では、様々な業界規制当局や契約相手先が採用しているサイバーセキュリティインシデント開示要件がいくつかあることに言及し、"前述のデータ漏洩開示要件はすべて、改正案に基づき企業が報告する必要がある重要なインシデントの一部をカバーする可能性はあるが、すべてのインシデントをカバーするわけではない "と述べている。 https://www.sec.gov/files/rules/proposed/2022/33-11038.pdf

7   Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Final Rule (pg 37)  SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示 提案規則 SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示 最終規則 https://www.sec.gov/rules/final/2023/33-11216.pdf

8   Source: https://www.sec.gov/rules/final/2023/33-11216.pdf

9   Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Proposed Rule (pg 8)  SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示規則案 https://www.sec.gov/files/rules/ proposed/2022/33-11038.pdf

10 Source: https://www.sec.gov/rules/final/2023/33-11216.pdf

11 Cybersecurity Risk Management Oversight: A Tool for Board Members サイバーセキュリティ・リスクマネジメントの監督： 取締役会メンバーのためのツール https://thecaqprod.wpengine.com/wp-content/uploads/2019/03/caq_cybersecurity_ risk_management_oversight_tool_2018-04.pdf

Source: https://www.sec.gov/rules/final/2023/33-11216.pdf

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

採択後...

・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

 

これが採択された段階...

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

案をだしている段階...

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書　サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

 

案をだしている段階...

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書　サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者