米証券取引委員会（SEC）は昨年、サイバー攻撃に対し、新たな情報開示（ディスクロージャー）ルールを導入した。最大のポイントは、被害には至らないケースであっても、重要なインシデントを4営業日以内に開示するように義務付けた点である。投資家に迅速に投資判断に役立つ情報を開示させようというのが、SECの狙いだ。
　同種のルールの日本での新設は、国内市場に投資している投資家にとっても有用と考えられる。
　加えて、サイバー攻撃を受けたことを恥ずべきことと感じ、隠蔽しがちな日本企業のメンタリティを改善し、いち早く、サーバー攻撃の手口や対処策を社会が共有するのに役立つという効果も期待できそうだ。
　金融庁、証券取引等監視委員会、日本取引所グループ、東京証券取引所などにも前向きに導入を検討してほしい情報開示ルールと言えるだろう。

　投資家を念頭に、米SECが昨年7月に新設したサイバーセキュリティ関連の情報開示ルールは大別して２つある。
　第1は、年次報告書での開示を義務付けたもので、当該企業にサーバーセキュリティの潜在的なリスクや会社としての対応状況、方針、体制、人員などの情報の開示だ。この点については、日本でも多くの上場企業が一般的な経営リスクの中でも重要になっている分野と考える企業が多く、明文規定がなくても、有価証券報告書などで開示する企業は増えているとされる。
　第2は、被害には至らなくても、重要（materiality）とみなすべきインシデントがあった場合は、そのインシデントが重要と判断してから4 営業日以内に、その重要性（インシデントの性質、範囲、タイミング、合理的に予想される影響）などを、「フォーム 8-K」と呼ばれる臨時の情報開示の書式に沿って提出・開示するよう義務付けた点だ。
　重要性の判断は、各社独自の基準ではなく、連邦証券法や判例に従い、「合理的な投資家」目線で判断するよう求めている。
　米司法長官が米国の安全保障や公共の安全に鑑みて、迅速な開示が却って重大なリスクをもたらすと判断した場合は例外として、60日を限度に開示を遅らせることを認めた。
　加えて、追加の決定や情報の取得があった場合は、改めて開示を行い、最初の開示内容を修正することを義務付けている。

　新ルールを受けて、米企業の間では、必ずしも「重要なインシデント」と評価する段階に至らなくても、予防的にインシデントがあった段階で開示する例が出ているようだ。
　例えば、米プレデンシャル生命保険は今年2月12日付で届け出を提出、「2月4日から、脅威アクターが当社システムに無断でアクセスしたことを検出」し、「直ちに対応プロセスを起動。調査、封じ込め、修復を開始した」ことや、報告書の日付の段階では「サイバー犯罪グループであると疑われる脅威アクターが、特定の情報技術システムから当社の管理およびユーザーデータにアクセスし、従業員および契約社員に関連する当社ユーザーアカウントのごく一部にアクセスしたと考えている」ものの、「インシデントの範囲を引き続き調査」している段階で、これまでのところ「顧客またはクライアントのデータを持ち去った証拠はない」「インシデントが当社の財政状態または業績に重大な影響を及ぼす可能性があるとは判断していない」などとした。

　ただ、日本でも、こうしたタイムリーディスクロージャーは、米国と同じように、投資家に歓迎されるだけでなく、日本独特のサイバーセキュリティ対策が困難な土壌の是正に役立つ可能性が大きい。
　というのは、冒頭でも触れたように、日本企業はもともと、サイバー攻撃を受けたことを恥ずべき問題とみなし、攻撃を受けた事実を隠蔽したがる傾向が強いからだ。
　業を煮やした経済官庁がここ20年前後をかけて、インフラ産業を中心にした情報共有体制の確立に取り組んできた経緯もある。
　サイバー攻撃の動向は、こうした各官庁の活動を集約する形で、内閣官房のサイバーセキュリティ戦略本部に集められ、日本全体の対応策が講じられることになっている。
　だが、政府内も縦割り行政の風土が強く、サイバーセキュリティ戦略本部内の連携も決して円滑とは言い切れないとされているのだ。
　こうした状況を打開するには、横串を刺す形で、米SECのようなルールを日本でも構築することが有効だと考えられる。

　付言すると、サイバー攻撃は近年、内外で、すっかり常態化してしまった問題だ。サイバーネットワークが社会のいたるところに普及して経済・社会活動に欠かせないインフラとなる中で、中国やロシア、北朝鮮といった国々が、他国の機密情報や金銭の窃取と、経済・社会活動を麻痺させることを狙って、多くのハッカー（サイバー攻撃）集団を養って、日常的に試みているからである。⼿⼝も日進月歩で、我々にとって計り知れない脅威となっている。

　最後に、米SECルールが日本でも役立つと考えられる根拠として、一昨年から相次いだ３つのサイバー攻撃を指摘しておきたい。
　トヨタ自動車が2022年3月に終日、国内の全14 工場 28 ラインの稼働停止を迫られたケースと、大阪急性期・総合医療センターが2022年10月から2カ月以上にわたって通常診療ができない状況に陥ったケース、そして名古屋港統一ターミナルシステムが翌2023年7月にほぼ約 3 日間にわたってコンテナの搬入・搬出作業が停止したケースである。
　実は、これらには、いずれも手口がランサムウエアによる攻撃であるほか、端緒になったのがトヨタと大阪の病院の場合、サプライチェーン上の外部組織だったこと、また、大阪の病院と名古屋港がネットワーク機器の脆弱性が攻撃の入り口になったといった共通点がそれぞれ、指摘されているのである。
　つまり、３つのサイバー攻撃は、早い段階に、幅広く、攻撃の端緒や手口、対策などの情報を、経済社会全体が共有することの重要性を改めて裏付けたと見なさざるを得ない。

　日本でサイバーセキュリティに関する情報開示ルールを強化することの一義的な目的は投資情報の充実である。
　しかし、関係者には、遅れている日本の予防・対処能力の強化に役立つことも視野に入れてほしいものである。

2024年4月30日