SECのルール改正に先行して、さまざまな法規制においてもセキュリティ事故の報告義務は標準となっている。例えば、日本の個人情報保護法でも事故の事実を把握してから3〜5日以内の速報が求められているが、ヨーロッパ連合(EU)の個人情報に対する規制である一般データ保護規則(GDPR)に代表されるように、世界各地の個人情報関連法規制では概ね72時間以内の報告が1つの目安になっている。
重要インフラの領域においても、サイバーセキュリティの観点で一層厳格な指令が2024年10月からヨーロッパで施行される。これはNIS2と呼ばれるもので、ここでも重要なのが報告義務だ。重大な事故が発生した際には早期警告を発生から24時間以内、影響の報告を72時間以内、そして最終報告書の提出を1カ月以内に行う必要がある。
株主や顧客、サプライチェーンから社会全体に至るまで、ステークホルダーに対して即時性のある報告ができるかどうかが問われている。国内でも報告義務化を受けて個人情報漏洩の被害報告が続発していると言われているが、米国でも同様の動きが出ている。SECの発表を受けて、4日以内の通知義務を果たすべく、速報で被害を報告するというケースが続発しており、米国内では明らかに企業のサイバー被害報告への温度感が変化している。
SECのルール改正は、米国証券市場に上場する海外企業も対象となる。また、海外企業も米国上場企業と直接取引があり事業や業績に影響を与えうる場合には、無視することのできないルール改正だと言えるだろう。
セキュリティ事故の「必要十分な情報量」の重要性
共通ポイントのもう1つが「必要十分な情報量」だ。欧米には「Informed decision」という考え方がある。判断を可能にする十分な情報を評価した上で意思決定をするというものだ。例えばSECのルール改正においては、発生している事故の事実と影響に関して正しい情報を企業がタイムリーに開示することで、ステークホルダーが適切な判断と意思決定をできるようにしなければならないという考え方に基づいている。SolarWindsに対する告発も、リスクを十分に把握していながら仮説的な情報しか開示していなかったという判断に基づいている。