サイバーセキュリティやデータプライバシーに関連する告発事案は、2023年を振り返るとこれ以外にもいくつかある。3月には、ドナー情報管理システムを提供するBlackbaudに対して、SECからの制裁が課せられた。2020年に発生した、企業の所有するデータを人質に身代金として対価を要求するランサムウェア攻撃について、ドナーの口座情報や社会保障番号は漏洩していないと発表した数日後、現場担当者が実際には漏洩していた事実を確認したものの経営層への報告を怠った。結果としてその後の決算報告書でも事実とは異なる情報を公開し株式市場を欺いたと判断されたというものだ。
また個人が告発された事案としては、サイバー攻撃による情報漏洩の事実を隠蔽したものがあり、Uberの元最高セキュリティ責任者(CSO)に有罪判決が同年5月に下されている。
サイバー犯罪を行った攻撃者側が不正行為の証拠を消去することはよくあるが、いずれの事案においても、サイバー犯罪を受けた被害者側がその事実を隠蔽したり誤解を招く情報を開示したりすることで裁かれるという構図になっている。つまり、サイバー犯罪被害者が告発される時代に突入したのだ。これは、適切な情報開示による報告義務が果たせなければ制裁の対象になることを意味する。
報告義務における2つの世界共通のポイント
2023年7月に、SECは上場企業に対してサイバーセキュリティに関する新たな報告義務を課すことを発表し、12月から運用が開始されている。このルール改正の背景には、社会やビジネスのデジタル化によって、企業自体だけでなく株主などさまざまなエコシステムのステークホルダーに対してもサイバーリスクがおよぶことが挙げられる。SolarWindsの事例では、サイバー攻撃の被害が明らかになった直後の1週間で株価は半分近くまで下落し、事故から3年以上が経過した今も依然として回復には程遠い状態になっている。
SECのルール改正において求められることの1つは、経営層の関与や役員会の専門性を含め、組織のリスク管理の取り組みに関して定期的に情報開示することだ。もう1つは、重大なセキュリティ事故が発生した際には、影響範囲や影響の可能性などを分析した上で、4日以内に報告することだ。
