米証券取引委員会 (SEC) は 7 月 26 日、企業に重大なサイバーセキュリティインシデントを投資家の投資判断に役立つような形で開示するよう義務付ける新ルールを採択した (プレスリリース、 The Verge の記事)。

投資家にとって、投資先がサイバーセキュリティインシデントで数百万件のファイルを失うことは火事で工場を失うのと同様に重大であり、既に多くの公開会社は投資家に向けてサイバーセキュリティ関連の開示を行っているが、より一貫して比較可能であり、投資判断に役立つような形で開示すれば、企業も投資家も利益を得られるとのこと。

具体的には、企業が重大なサイバーインシデントと判断してから 4 営業日以内に Form 8-K 報告書の新アイテム 1.05 として報告が義務付けられる。ただし、米司法長官が即時開示を国家安全保障や公共安全へのリスクが高いと判断し、書面で SEC に通知した場合は開示を延期する可能性もある。

また、サイバーセキュリティ対策などの説明を義務付けるアイテム 106 が Regulation S-K 報告要件に追加され、Form 10-K 報告書での年次報告への記載も必要になる。国外企業でも同等の開示が Form 6-K と Form 20-F でそれぞれ義務付けられるとのことだ。