7月26日、米証券取引委員会（SEC）は、登録企業に対し、サイバーセキュリティに関する重大なインシデントの発生を開示し、サイバーセキュリティのリスク管理、戦略、ガバナンスに関する重要な情報を年次で開示することを義務付ける規則を採択した。また、外国の非公開発行体にも同等の開示を義務付ける規則も採択した。

新規則は、登録者に対し、重要であると判断したサイバーセキュリティインシデントをForm 8-Kの新しい項目1.05で開示し、インシデントの性質、範囲、時期、および登録者に対する重要な影響または合理的に起こりうる重要な影響の重要な側面を説明することを要求する。項目1.05 Form 8-Kは通常、登録者がサイバーセキュリティインシデントが重要であると判断してから4営業日後に提出される。米国司法長官が、即時開示が国家安全保障または公共の安全に対する実質的なリスクをもたらすと判断し、書面で欧州委員会に通知した場合は、開示を延期することができる。

新規則はまた、Regulation S-K Item 106を追加し、サイバーセキュリティの脅威による重大なリスク、サイバーセキュリティの脅威および過去のサイバーセキュリティインシデントによるリスクの重大な影響または合理的に起こりうる重大な影響を評価、特定、管理するためのプロセスがある場合には、そのプロセスを説明することを登録者に義務付ける。また、項目106では、サイバーセキュリティの脅威によるリスクに対する取締役会の監督、サイバーセキュリティの脅威による重大なリスクの評価と管理における経営陣の役割と専門知識についても説明することが求められる。これらの開示は、Form 10-Kに関する登録者の年次報告書で要求される。

同規則は、外国私募発行体に対し、重要なサイバーセキュリティインシデントについてはForm 6-Kで、サイバーセキュリティリスク管理、戦略、ガバナンスについてはForm 20-Fで、同等の開示を要求している。

最終規則は、連邦官報に採択リリースが掲載されてから30日後に発効する。Form 10-KおよびForm 20-Fの開示は、2023年12月15日以降に終了する会計年度の年次報告書から開始される。Form8-KおよびForm6-Kの開示は、連邦官報に掲載された日から90日後、または2023年12月18日のいずれか遅い日から開始される予定。小規模な報告会社については、Form 8-Kによる開示を開始するまでにさらに180日の猶予が与えられる。構造化データ要求事項への準拠に関しては、すべての登録会社は、関連する開示要求事項への最初の準拠から1年後に、最終規則に基づき要求される開示をインラインXBRLでタグ付けする必要がある。

【参照ページ】
（原文）SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies
（日本語参考訳）米証券取引委員会、サイバーセキュリティに関する開示と年次報告を義務化