義務化にシフトする「インシデントの通知」
そんな中、2023年7月、米国証券取引委員会が重大なセキュリティインシデントに関して4日以内の情報開示を義務化するルール改正を行った。同改正においては、セキュリティリスクの評価やその対策に関して、企業の経営陣の役割や役員会の監査に関する定期的な情報開示も義務化している。被害を防ぐためにどんな取り組みをしているのか、被害にあった場合にはそのリスクや影響について情報開示することが、米国証券市場で上場する企業には必須となった。情報開示義務化の背景として、企業活動はもちろん社会全体のデジタル化やリモートワークをはじめとしたITサービスへの依存度の拡大、サイバーセキュリティの脅威やインシデントが民間企業、投資家、株式市場関係者にもたらすリスクの拡大が挙げられている。2023年12月から準拠が求められるものの、すでにインシデントを受けていくつかの企業が迅速な情報開示を行っており、ルール改正の影響が出始めている。
重大なインシデントが起きた際のすみやかな通知を義務化する動きは、何もこれが初めてではない。データプライバシーに関連した世界各地の法規制においても同じような動きがある。国内でも2022年の改正個人情報保護法施行により、インシデント発生時の通知が義務化され、個人情報保護委員会には3〜5日以内の速報を求めている。
この改正を受けて、個人情報保護委員会への情報漏洩事案の報告件数は、2022年には4217件と2021年の1042件から4倍にも膨れ上がった。行政処分を受けるリスクを回避する目的で、確報ではなく情報漏洩の疑いの段階で通知をしているケースが一定数あることが考えられるものの、事故に対する説明責任という観点では、隠蔽せずにすみやかに通知した企業は評価に値する。
海外に目を向けてみても、ヨーロッパ連合(EU)やタイ、シンガポールの個人情報関連法は72時間以内の通知を義務化している。重要インフラに関係するサイバーセキュリティ関連の法規制においては、重大インシデントが発生した際には、社会活動への影響を踏まえて数時間といった時間軸ですみやかに通知することが求められている。
EUのGDPRがこの5年間で日本を含め世界的に大きな影響を与えているように、データプライバシーやサイバーセキュリティの領域では、一部の国で始動した動きが他国に影響を与えている点が特徴だ。米国証券取引委員会のルール改正は、現時点では米国証券市場に上場する企業とそのサプライチェーンに影響は限定されている。
その一方で、情報漏洩を受けて減収減益、株価下落、経営陣の退任といった事態に陥った事例は、過去に国内でも起きている。サイバー犯罪によるインシデントが株式市場全体に影響を与えうるのは明白であり、今後同じような考え方が国内を含めて世界各地に浸透していく可能性にも注視していく必要がある。
