セキュリティインシデントの発生時にどこまで情報開示すべきか

今回は「セキュリティインシデントの発生時にどこまで情報開示すべきか」についてご紹介します。

関連ワード (CIO/経営、ビジネス視点で分かるサイバーのリスクとセキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。

 ランサムウェアを筆頭に、サイバー犯罪被害に関連した株式市場での適時開示が2024年も既に複数発生している。サイバー犯罪が組織への被害だけでなく株主や取引先といったステークホルダーに与える影響が甚大なことを示唆している。今回は、サイバー犯罪被害に関する報告義務が世界的にも標準化する中で、企業はサイバーセキュリティに関する情報開示にどう向き合うべきかについて考えてみたい。

 サイバー犯罪被害に関連した適時開示は、2024年の最初の3カ月で5件行われている。適時開示とは、証券取引所が上場企業に義務付けている情報開示制度の一つで、企業自体とその子会社に関係した決定事実や発生事実に関して速やかに開示することが求められている。簡単に言うと、投資の判断材料を提供する目的で行われるものである。

 サイバーセキュリティの観点で言えば、サイバー攻撃や内部不正の結果として、事業活動や財務状況に大きな影響を与え得る事態となった際に適時開示をする必要が出てくる。特に、ランサムウェア被害によって会計データが使用不能になり、四半期の決算発表延期や有価証券報告書の提出期限延長に関する情報開示がここ数年で頻発している。

 適時開示はプレスリリース(報道発表)と混同されることがあるが、プレスリリースの発信は任意開示の手段の一つだ。任意開示とは、企業や組織が自発的に実施するもので、一般的には新製品の市場投入など世の中に広く届けるために活用されるが、サイバーセキュリティの領域ではこれまで個人情報の漏えいやマルウェアの「Emotet(エモテット)」の感染被害などで目にすることが多い。これらの目的はさまざまだが、あくまで企業が自身の判断で自主的に公開する情報だ。

 また、情報開示の中には、金融商品取引法などの法律に基づいて公益や投資家の保護などを目的に行われる法定開示もある。国内ではサイバーセキュリティに特化した法定開示は義務化されていないものの、近年は有価証券報告書や四半期報告書などでのサイバーリスクに関する記載が標準的になっている。

 つまり、国内ではサイバーセキュリティに関する情報開示が明示的に義務化されているわけではないが、その点を考慮しても、サイバーリスクが事業とステークホルダーに与える影響が大きいことが広く社会的にも認知されてきていることを裏付けていると言える。

 サイバー犯罪や内部不正による影響に関する報告義務で、一歩先を行くのが米国だ。米国証券取引委員会(SEC)は、上場企業に対してサイバーセキュリティに関する新たな報告義務を課すことを2023年7月に発表し、同年12月に運用が始まった。

 ここでは、重大なインシデントが発生した際には4日以内に報告すること、そして、経営層の役割を含めたリスク管理の取り組みを年間報告書で報告することが義務付けられた。この発表を受けて、セキュリティインシデント被害を受けた組織からの迅速な報告が続発した。

 SECが求める報告義務だけでなく、米国ではさらに踏み込んだ対応が行われている。それは、情報開示が適切ではなかった場合の制裁だ。例えば、2020年に発生したSolarWindsに対するサイバー攻撃に関連して、リスクを把握していながら対策を怠り適切な情報開示をしなかったと、会社や最高情報セキュリティ責任者(CISO)が2023年に告発された。

 類似の事案はほかにもある。2020年にランサムウェアによるインシデントが発生したBlackbaudは、「機微な情報の漏えいはない」と当初発表したにも関わらず、後日現場担当者が漏えいの事実を確認したものの経営層への報告を怠り、その後の決算報告書でも事実とは異なる情報で株式市場を欺いたとして制裁が課せられた。2023年は、米国以外でも親会社で発生した情報漏えい事故に関して十分な情報を提供しなかったことを理由の一つに、Equifaxに対して1100万ポンド(約20億円)の罰金が課せられている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
イセトー、開発プロセス効率化で「Red Hat OpenShift on IBM Cloud」活用
IT関連
2022-02-02 05:44
ベトナムの電動バイクメーカーDat Bikeが2.9億円調達、ガソリンバイクからの乗り換えを狙う
モビリティ
2021-04-14 01:48
マイクロソフト、新たな「インダストリークラウド」発表–金融サービス、製造、NPO向け
IT関連
2021-02-26 05:06
国宝「救世観音像」を8K画質で3DCG化 「現地調査以上の情報量」と仏像研究者も驚嘆
科学・テクノロジー
2021-06-23 05:00
法務管理「GVA manage」に「Word編集機能」–画面上からの「Word」起動が可能に
IT関連
2023-07-20 21:07
富士通、販促コンテンツを生成するAI技術を開発
IT関連
2023-08-05 12:31
ALSI、ゼロトラストに基づいた安全な学習環境の構築をサポート
IT関連
2024-06-25 02:19
タブレット出荷台数、第2四半期は微増–「Chromebook」は51%減
IT関連
2022-08-03 23:57
ESGが投資基準として重要な時代に–既存のESGファンドは玉石混交
IT関連
2021-04-20 09:03
Rust製ブラウザエンジンの「Servo」がElectron代替を目指す「Tauri」への組み込みに対応、プロトタイプとして実装
HTML/CSS
2024-01-22 18:25
次の11インチiPad Proと新型MacBook AirはミニLED採用か
IT関連
2021-07-14 16:01
Rivianが事業拡大を見据えAmazonのファンドなどから新たに約2760億円調達
モビリティ
2021-07-26 12:09
第3回:生成AIと文書管理の連携がもたらす次世代のDX
IT関連
2023-11-29 23:06
銀河英雄伝説で考えるセキュリティ–ITにもある「高度な柔軟性を維持しつつ、臨機応変に対処」
IT関連
2024-05-25 14:58