米証券取引委員会(SEC)は7月26日、サイバーセキュリティに関する法定開示ルールを採択。米国の証券取引所の上場企業に対し、サイバーセキュリティに関する適時開示と年次報告を義務化した。連邦官報掲載の30日後に発効する。
新ルールでは、重要なサイバーセキュリティ・インシデント発生時に適時開示として「Form 8-K」で、サイバーセキュリティのマネジメントに関しては年次報告「Form 10-K」で説明することが義務化された。
適時開示側では、対象企業は、重要と判断したサイバーセキュリティインシデントを「Form 8-K」に新設された項目1.05で開示し、インシデントの性質、範囲、時期、および当該企業に対する重要な影響または合理的に起こりうる重要な影響の重要な側面について説明しなければならない。
Form8-Kの登録期限は、当該企業がサイバーセキュリティインシデントが重要であると判断してから4営業日まで。但し、米司法長官が、即時開示が国家安全保障または公共の安全に対する実質的なリスクをもたらすと判断し、当該内容を書面でSECに通知した場合は、開示を延期することができる。
年次開示側では、「Form 10-K」に「Regulation S-K 項目106」を新設。サイバーセキュリティの脅威による重大なリスク、サイバーセキュリティの脅威および過去のサイバーセキュリティインシデントによるリスクの重大な影響または合理的に起こりうる重大な影響を評価、特定、管理するための社内手続きプロセスを整備している企業に対し、当該プロセスの説明を義務付けた。項目106では、サイバーセキュリティの脅威によるリスクに対する取締役会の監督、サイバーセキュリティの脅威による重大なリスクの評価と管理における経営陣の役割と専門知識についても説明することが求められる。
また、外国預託証券として上場している企業に対しても、適時開示は「Form 6-K」、年次開示は「Form 20-F」で行わなければならない。
同ルールは、連邦官報掲載の30日後に発効。Form 10-K及びForm 20-Fの開示は、2023年12月15日以降に終了する会計年度の年次報告書から開始。Form8-K及びForm6-Kの開示は、連邦官報掲載の90日後、または2023年12月18日のいずれか遅い日から開始される。小規模な発行体は、Form 8-Kによる開示を開始するまでにさらに180日の猶予が与えられる。開示ではインラインXBRLでタグ付けも必須。
【参照ページ】SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies
Sustainable Japanの特長
Sustainable Japanは、サステナビリティ・ESGに関する
様々な情報収集を効率化できる専門メディアです。
- 時価総額上位100社の96%が登録済
- 業界第一人者が編集長
- 7記事/日程度追加、合計11,000以上の記事を読める
- 重要ニュースをウェビナーで分かりやすく解説※1
さらに詳しく ログインする※1:重要ニュース解説ウェビナー「SJダイジェスト」。詳細はこちら