サイバセキュリティ規制について

米国のSEC（証券取引委員会）では、過去の重大なサイバーインシデントの開示不備や、重大なインシデントが開示されていないことなどの課題を考慮し、投資家への影響を配慮して、2023年初旬にサイバーセキュリティ開示規制案を発表しています。

現在はパブリックコメントをもとに、投資家の保護やSEC登録企業（米国の証券取引所に上場している会社）への負担などのバランスを見ながら、最終化に向けて動いていると理解しています。

このサイバー開示の義務化に関しては、とても長い歴史があるようで、最初のサイバーインシデントが発生したのは1800年台だという説もあります。

米国のSEC（証券取引委員会）では、2014年に発生した米Yahooへの大規模なサイバーインシデントが社会を騒がせました。5億件規模の個人情報が流出したにもかかわらず、同社はその事実を2016年までSECに報告していないとされ、事実を隠したまま一部の事業をベライゾンに約48億米ドル（4800億円、1ドル100円換算）で売却していたようです。この事実が明るみに出てからは、買収価格にディスカウントが行われ、350万米ドル（3.5億円）ものディスカウントがなされたようです。サイバーインシデントが金額に換算されると、その大きな影響が分かります。更に、SECからは35万ドルの制裁金が課されたとの報道もあります。

SECは2011年頃に初回のサイバー開示に関するガイドラインを発行しており、その後、Yahooのインシデントを受け、2018年に再び2011年のガイドラインをベースにしたガイドラインを発行しています。その中で、サイバーセキュリティの開示コントロールと手続きの重要性、およびサイバー脅威やインシデントに関する重要な未公表情報の使用がインサイダー取引にあたる可能性があることを繰り返し強調しているようです。

SECのサイバー開示規制案が実現するまでには約12年の年月が経過しており、規制化に取り組む上での挑戦があると感じます。長期的な視点で社会の変化やルールの必要性を予測するマインドセットが重要です。金融の文脈においては、ITに関連するプライバシー、レジリエンス、サイバーセキュリティ、クリプトカレンシーがSECの最重要アジェンダとされています。

やっと、今回のSECサイバー開示規制についての理解が深まりました。何を書こうとしていたのか、最初は忘れてしまいましたが、感想を書いて終わります。

SECのサイバー開示規制案が実現するまでには、2011年に初回のガイドラインが発行され、約12年の歳月が経過しています。規制化の話題が出てから、過去を振り返り、その規制について調査している様では、中々クライアントに対して価値を提供することは難しいでしょう。5年や10年後には、どのような社会になっており、どのような規則が必要とされるのか先読みするマインドが重要だと感じます。

しかし、それはなかなか難しいことではありますので、SECのアジェンダに目を向けることから始めることが重要だと思います。

金融の文脈では、ITに関連してプライバシー、レジリエンス、サイバーセキュリティ、クリプトカレンシーがSECの最重要アジェンダと考えられています。

このマインドセットは、現在の環境や技術の進化のスピードを考慮する上で欠かせないものとなります。

言うまでもありませんが、資本市場が揺らぐと、社会は混乱し、日々の当たり前が失われる可能性もあります。

これを踏まえ、我々は何をすべきなのでしょうか。続きを書いていきたいと思います。