セキュリティインシデントの発生時にどこまで情報開示すべきか

今回は「セキュリティインシデントの発生時にどこまで情報開示すべきか」についてご紹介します。

関連ワード （CIO／経営、ビジネス視点で分かるサイバーのリスクとセキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。

　ランサムウェアを筆頭に、サイバー犯罪被害に関連した株式市場での適時開示が2024年も既に複数発生している。サイバー犯罪が組織への被害だけでなく株主や取引先といったステークホルダーに与える影響が甚大なことを示唆している。今回は、サイバー犯罪被害に関する報告義務が世界的にも標準化する中で、企業はサイバーセキュリティに関する情報開示にどう向き合うべきかについて考えてみたい。

　サイバー犯罪被害に関連した適時開示は、2024年の最初の3カ月で5件行われている。適時開示とは、証券取引所が上場企業に義務付けている情報開示制度の一つで、企業自体とその子会社に関係した決定事実や発生事実に関して速やかに開示することが求められている。簡単に言うと、投資の判断材料を提供する目的で行われるものである。

　サイバーセキュリティの観点で言えば、サイバー攻撃や内部不正の結果として、事業活動や財務状況に大きな影響を与え得る事態となった際に適時開示をする必要が出てくる。特に、ランサムウェア被害によって会計データが使用不能になり、四半期の決算発表延期や有価証券報告書の提出期限延長に関する情報開示がここ数年で頻発している。

　適時開示はプレスリリース（報道発表）と混同されることがあるが、プレスリリースの発信は任意開示の手段の一つだ。任意開示とは、企業や組織が自発的に実施するもので、一般的には新製品の市場投入など世の中に広く届けるために活用されるが、サイバーセキュリティの領域ではこれまで個人情報の漏えいやマルウェアの「Emotet（エモテット）」の感染被害などで目にすることが多い。これらの目的はさまざまだが、あくまで企業が自身の判断で自主的に公開する情報だ。

　また、情報開示の中には、金融商品取引法などの法律に基づいて公益や投資家の保護などを目的に行われる法定開示もある。国内ではサイバーセキュリティに特化した法定開示は義務化されていないものの、近年は有価証券報告書や四半期報告書などでのサイバーリスクに関する記載が標準的になっている。

　つまり、国内ではサイバーセキュリティに関する情報開示が明示的に義務化されているわけではないが、その点を考慮しても、サイバーリスクが事業とステークホルダーに与える影響が大きいことが広く社会的にも認知されてきていることを裏付けていると言える。

　サイバー犯罪や内部不正による影響に関する報告義務で、一歩先を行くのが米国だ。米国証券取引委員会（SEC）は、上場企業に対してサイバーセキュリティに関する新たな報告義務を課すことを2023年7月に発表し、同年12月に運用が始まった。

　ここでは、重大なインシデントが発生した際には4日以内に報告すること、そして、経営層の役割を含めたリスク管理の取り組みを年間報告書で報告することが義務付けられた。この発表を受けて、セキュリティインシデント被害を受けた組織からの迅速な報告が続発した。

　SECが求める報告義務だけでなく、米国ではさらに踏み込んだ対応が行われている。それは、情報開示が適切ではなかった場合の制裁だ。例えば、2020年に発生したSolarWindsに対するサイバー攻撃に関連して、リスクを把握していながら対策を怠り適切な情報開示をしなかったと、会社や最高情報セキュリティ責任者（CISO）が2023年に告発された。

　類似の事案はほかにもある。2020年にランサムウェアによるインシデントが発生したBlackbaudは、「機微な情報の漏えいはない」と当初発表したにも関わらず、後日現場担当者が漏えいの事実を確認したものの経営層への報告を怠り、その後の決算報告書でも事実とは異なる情報で株式市場を欺いたとして制裁が課せられた。2023年は、米国以外でも親会社で発生した情報漏えい事故に関して十分な情報を提供しなかったことを理由の一つに、Equifaxに対して1100万ポンド（約20億円）の罰金が課せられている。