セキュリティインシデントの発生時にどこまで情報開示すべきか

今回は「セキュリティインシデントの発生時にどこまで情報開示すべきか」についてご紹介します。

関連ワード (CIO/経営、ビジネス視点で分かるサイバーのリスクとセキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。

 ランサムウェアを筆頭に、サイバー犯罪被害に関連した株式市場での適時開示が2024年も既に複数発生している。サイバー犯罪が組織への被害だけでなく株主や取引先といったステークホルダーに与える影響が甚大なことを示唆している。今回は、サイバー犯罪被害に関する報告義務が世界的にも標準化する中で、企業はサイバーセキュリティに関する情報開示にどう向き合うべきかについて考えてみたい。

 サイバー犯罪被害に関連した適時開示は、2024年の最初の3カ月で5件行われている。適時開示とは、証券取引所が上場企業に義務付けている情報開示制度の一つで、企業自体とその子会社に関係した決定事実や発生事実に関して速やかに開示することが求められている。簡単に言うと、投資の判断材料を提供する目的で行われるものである。

 サイバーセキュリティの観点で言えば、サイバー攻撃や内部不正の結果として、事業活動や財務状況に大きな影響を与え得る事態となった際に適時開示をする必要が出てくる。特に、ランサムウェア被害によって会計データが使用不能になり、四半期の決算発表延期や有価証券報告書の提出期限延長に関する情報開示がここ数年で頻発している。

 適時開示はプレスリリース(報道発表)と混同されることがあるが、プレスリリースの発信は任意開示の手段の一つだ。任意開示とは、企業や組織が自発的に実施するもので、一般的には新製品の市場投入など世の中に広く届けるために活用されるが、サイバーセキュリティの領域ではこれまで個人情報の漏えいやマルウェアの「Emotet(エモテット)」の感染被害などで目にすることが多い。これらの目的はさまざまだが、あくまで企業が自身の判断で自主的に公開する情報だ。

 また、情報開示の中には、金融商品取引法などの法律に基づいて公益や投資家の保護などを目的に行われる法定開示もある。国内ではサイバーセキュリティに特化した法定開示は義務化されていないものの、近年は有価証券報告書や四半期報告書などでのサイバーリスクに関する記載が標準的になっている。

 つまり、国内ではサイバーセキュリティに関する情報開示が明示的に義務化されているわけではないが、その点を考慮しても、サイバーリスクが事業とステークホルダーに与える影響が大きいことが広く社会的にも認知されてきていることを裏付けていると言える。

 サイバー犯罪や内部不正による影響に関する報告義務で、一歩先を行くのが米国だ。米国証券取引委員会(SEC)は、上場企業に対してサイバーセキュリティに関する新たな報告義務を課すことを2023年7月に発表し、同年12月に運用が始まった。

 ここでは、重大なインシデントが発生した際には4日以内に報告すること、そして、経営層の役割を含めたリスク管理の取り組みを年間報告書で報告することが義務付けられた。この発表を受けて、セキュリティインシデント被害を受けた組織からの迅速な報告が続発した。

 SECが求める報告義務だけでなく、米国ではさらに踏み込んだ対応が行われている。それは、情報開示が適切ではなかった場合の制裁だ。例えば、2020年に発生したSolarWindsに対するサイバー攻撃に関連して、リスクを把握していながら対策を怠り適切な情報開示をしなかったと、会社や最高情報セキュリティ責任者(CISO)が2023年に告発された。

 類似の事案はほかにもある。2020年にランサムウェアによるインシデントが発生したBlackbaudは、「機微な情報の漏えいはない」と当初発表したにも関わらず、後日現場担当者が漏えいの事実を確認したものの経営層への報告を怠り、その後の決算報告書でも事実とは異なる情報で株式市場を欺いたとして制裁が課せられた。2023年は、米国以外でも親会社で発生した情報漏えい事故に関して十分な情報を提供しなかったことを理由の一つに、Equifaxに対して1100万ポンド(約20億円)の罰金が課せられている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
NTTとNEC、遮蔽を気にしないミリ波分散MIMOの実証に成功
IT関連
2022-11-02 12:44
鹿島建設、クラウドERPを部門導入–案件別に工数の予実管理が可能に
IT関連
2023-04-07 08:52
格安SIMのIIJmio・mineo・イオンモバイルが「LINE年齢確認」に対応、LINEへの年齢情報通知を開始
ソフトウェア
2021-03-13 04:17
「ロトの兜飾り」創業300年の老舗から
くらテク
2021-05-28 10:26
KDDI、データクリーンルームでスポーツの視聴機会を創出・拡大
IT関連
2023-06-29 12:38
ポケモンGOに“黒龍”再び 2日限りの「レックウザ」復刻
くらテク
2021-03-29 12:37
新規の酵素遺伝子や反応経路を探索可能なプラットフォームを手がけるdigzymeが約1.5億円のプレシリーズA調達
バイオテック
2021-08-11 08:15
「Windows 365」提供開始–プランと価格が明らかに
IT関連
2021-08-03 22:56
Cloudflare、ヘッドレスブラウザ+Puppeteerがすぐ使える「Workers Browser Rendering API」発表
Cloudflare
2022-11-18 19:43
Twitter公式、エイプリルフール傑作リストをツイート
企業・業界動向
2021-04-03 04:37
JavaScriptパッケージシステム「npm」は巨大なバグを抱えていると指摘し、新たなパッケージシステムを開発する「vlt」。npm作者らの参加を発表
Deno
2024-04-04 01:31
若手研究者と共同創業するHERO Impact Capitalが1号ファンドを組成し投資活動開始、ファンド規模は30億円
IT関連
2022-02-26 21:26
三重県、産業廃棄物関連の問い合わせ対応にAIチャットボットを活用
IT関連
2023-09-02 22:59
ハッカー集団アノニマス、ロシア国営TVなどの配信チャンネル乗っ取りウクライナでの戦闘映像流す
IT関連
2022-03-09 12:49