「完全にやりすぎ」 インシデント開示規則の撤廃を求める企業たち：Cybersecurity Dive

ジョー・バイデン大統領は、企業に対してサイバーインシデントとガバナンスプロセスの開示を義務付けるSECの権限の剥奪を目的とした共同決議案を拒否する意向を示した。

[Matt Kapko，Cybersecurity Dive]

　2024年1月29日（現地時間、以下同）の週、バイデン政権は、米国証券取引委員会（SEC）による上場企業にサイバーセキュリティインシデントの開示を義務付ける規則を取り消そうとする議会の動きに強く反対した（注1）。

　2024年1月31日に政権が声明で発表したところによると、ジョー・バイデン大統領は、この共同決議「S.J. Res.50」が自分のデスクに届けば拒否権を発動するだろうとのことだ（注2）（注3）。

　SECは企業に対して重大なサイバーインシデントを迅速に開示し、年次報告書にサイバー脅威に対する管理方法を記載するよう義務付けている。これを否定する決議案は、共和党の上院議員によって2023年11月に提出され、下院議員からも同様の決議案が提出された（注4）。

インシデントが相次ぐ状況に対してホワイトハウスが声明

　この規則は2023年9月に発行されたが、重大なサイバーインシデントの発生から4営業日以内の報告を企業に義務付けるSECの規則の施行は同年12月に始まった。既に企業はコーポレートサイバーガバナンスを詳細に説明し（注5）、業界ではサイバー攻撃の開示が相次いでいる。

　ホワイトハウスはこれを受けて「ランサムウェア攻撃は前年比45％増となっている。上場企業の業務やデータに影響を及ぼすサイバーインシデントに関する透明性の欠如が、あらゆる部門やあらゆる業界におけるサイバー攻撃の増加に拍車を掛けている。SECの規則で義務付けられているようにサイバーインシデントに関する透明性を高めることは、企業の経営者がサイバーセキュリティとサイバーリスク管理に投資する動機付けとなる」と声明を発表した。

　ここ数週間で、MicrosoftとHewlett Packard Enterpriseは（注6）（注7）、ロシアとの関連を疑われる脅威アクター「Midnight Blizzard」による攻撃を報告した。これによって脅威アクターは両社の企業データにアクセスしたという。

　SECに提出されたその他のサイバーインシデントの開示には、Johnson Controls International（注8）やVF Corp.（注9）、Mr.Cooper Group（注10）、Fidelity National Financial（注11）、loanDepotに対する攻撃が含まれる（注12）。

SECの規則の撤廃を求める企業たち　その理由は？

　Gartnerの著名なアナリストであり、バイスプレジデントでもあるカテル・ティエルマン氏は「SECの規則が最初に与えた影響は小さく、大量の情報開示には至っていない」と述べた。

　「これらの情報開示は全て事後的な行為であり、防衛策としての効果は限定的だ。しかし否定できない副産物の一つは、サイバーセキュリティが上位の管理職の間で議論されるようになったことである。なぜなら重大性の議論は取締役会やCEO、CFO（最高財務責任者）、法律顧問の間で行われるためだ」（ティエルマン氏）

　SECのサイバーインシデント開示義務は、これまでに最も多くの反対意見を集めているが、サイバーガバナンスに関する報告義務は、2023年12月15日以降に終了する会計年度の年次報告書を提出する企業に対して適用されるようになったばかりだ。

　それぞれの議会で共同決議案を提出した発案者である、ノースカロライナ州選出の共和党上院議員トム・ティリス氏とニューヨーク州選出の共和党下院議員アンドリュー・ガーバリーノ氏は「SECの規則は既存のサイバーセキュリティ開示規則と矛盾しており、国家安全保障よりも投資家を優先している」と指摘した。

　ガーバリーノ氏は、声明において「このサイバーセキュリティ開示規則は、SECによる完全に行き過ぎた規則である」とも述べた（注13）。

　US Chamber of CommerceやAmerican Bankers Association、Bank Policy Instituteも、SECの規則を撤回させようとする動きを支持している。

　上場企業は公共の安全や国家安全保障にとって重大な脅威をもたらす場合、インシデントの開示の延期を要求できる（注14）。

　Forresterのシニアアナリストのアラ・ヴァレンテ氏は、「これらの開示に含まれる重大なリスクに関する情報は、投資家が十分な情報に基づいて意思決定を実施する上で極めて重要だ」と意見を述べた。

　「もしあなたがフットボールの試合に賭けるとしたら、クォーターバックがゲームに影響を与える重大なケガをしているかどうかを知りたいと思わないだろうか。賭ける前に、それを知りたいと思わないだろうか」（ヴァレンテ氏）

　ホワイトハウスは「SECの規則の撤廃が投資家に不利に働き、企業がサイバープログラムへの投資を過小評価し、経済および国家安全保障に損害を与える」とコメントした。

　ヴァレンテ氏は「情報開示は透明性の確保に不可欠であり、組織間の知識共有を支援し、法執行の取り組みにも役立つ」と話した。

　「結局のところ、テクノロジーが進化し続ける限り、イノベーションの確保においてサイバーセキュリティは重要な役割を果たし続ける。サイバーセキュリティの要件がそれに遅れてはならない」（ヴァレンテ氏）

　なおSECはコメントの要請に応じなかった。

（注1）SEC cyber disclosure rules are taking effect: Here’s what to expect（Cybersecurity Dive）
（注2）S.J.Res.50 - A joint resolution providing for congressional disapproval under chapter 8 of title 5, United States Code, of the rule submitted by the Securities and Exchange Commission relating to "Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure".（CONGRESS.GOV）
（注3）STATEMENT OF ADMINISTRATION POLICY （The White House）
（注4）H.J.Res.100 - Providing for congressional disapproval under chapter 8 of title 5, United States Code, of the rule submitted by the Securities and Exchange Commission relating to "Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure".（CONGRESS.GOV）
（注5）Cyber risk strategies in hot seat as SEC rules go live（Cybersecurity Dive）
（注6）Microsoft to overhaul internal security practices after Midnight Blizzard attack（Cybersecurity Dive）
（注7）HPE hit by a monthslong cyberattack on its cloud-based email（Cybersecurity Dive）
（注8）Johnson Controls reports $27M hit from ransomware attack（Cybersecurity Dive）
（注9）Cyberattack on VF Corp. disrupts order fulfillment（Cybersecurity Dive）
（注10）Mr. Cooper cyberattack hits every current ― and former ― customer（Cybersecurity Dive）
（注11）Fidelity National Financial investigating cyberattack that led to service disruption（Cybersecurity Dive）
（注12）LoanDepot caught in mortgage industry cyberattack spree（Cybersecurity Dive）
（注13）Garbarino, Tillis Introduce Joint Resolution For The Disapproval of Overreaching SEC Rule（ ANDREW GARBARINO）
（注14）FBI to field SEC cyber incident disclosure delay requests（Cybersecurity Dive）

原文へのリンク