Last Updated on 2024-10-01 07:06 by admin
2023年、米国証券取引委員会(SEC)は、公開企業に対する新たなサイバーセキュリティ規則を導入した。これらの規則は、サイバーセキュリティのリスク管理、ガバナンス、およびインシデントの開示に焦点を当てており、投資家保護と市場の透明性を高めることを目的としている。新規則により、企業は「重大な影響」を持つと判断したサイバーセキュリティインシデントを4日以内に報告する必要がある。
クロロックスは2023年8月に重大なサイバー攻撃を受け、自動注文処理に影響が出た。この攻撃により、注文処理の遅延と製品不足が発生し、売上と収益に悪影響を及ぼした。2023年末までにクロロックスは、運用の中断と調査および修復を支援する第三者への支払いを含む4900万ドルの費用を負担した。同社は、攻撃の影響が2024会計年度にも続くと予測している。
プルデンシャルファイナンシャルは2024年2月にブリーチを報告したが、大きな被害はなかった。プルデンシャルはSECの規則に従って開示したが、重大な影響が判明する前に自主的にインシデントを報告した。このブリーチでは、一部のITシステムからの「管理およびユーザーデータ」が不正アクセスを受け、少数の従業員と契約者のアカウントに影響が出た。
ユナイテッドヘルスは、その子会社Change Healthcareに対する大規模な攻撃を受け、数百万人の患者記録が漏洩し、処方箋の履行と請求処理が停止した。ユナイテッドヘルスは攻撃を当初国家によるものとして報告したが、影響を受けた人数や重大性の判断は行わなかった。同社は、攻撃による影響を受けた医師や医療施設が数百万人のアメリカ人にサービスを提供していると報告した。ユナイテッドヘルスは、攻撃によるコストが最大16億ドルに達する可能性があると最近発表した。
【ニュース解説】
2023年、米国証券取引委員会(SEC)は、公開企業に対して新たなサイバーセキュリティ規則を導入しました。これらの規則は、サイバーセキュリティのリスク管理、ガバナンス、そしてインシデントの開示に焦点を当てており、投資家保護と市場の透明性を高めることを目的としています。具体的には、企業は「重大な影響」を持つと判断したサイバーセキュリティインシデントを4日以内に報告する必要があります。
この新規則の下で、クロロックス、プルデンシャルファイナンシャル、ユナイテッドヘルスの3社がサイバー攻撃を受け、その経験から得られた教訓があります。クロロックスは自動注文処理に影響を与える重大なサイバー攻撃を受け、プルデンシャルファイナンシャルは自主的にインシデントを報告し、ユナイテッドヘルスは子会社に対する大規模な攻撃を受けました。
これらの事例から、企業がサイバーセキュリティインシデントに迅速に対応し、適切に開示することの重要性が浮き彫りになります。特に、インシデントが「重大な影響」を持つかどうかを迅速に判断し、必要な情報を投資家や関係者にタイムリーに提供することが求められます。
この新規則の導入により、企業はサイバーセキュリティのリスク管理とガバナンスを強化し、インシデント発生時の透明性を高めることが期待されます。これは、サイバー攻撃の増加に伴うリスクを軽減し、投資家や市場の信頼を維持するために不可欠です。
しかし、この規則は企業にとって新たな課題ももたらします。特に、インシデントの「重大な影響」を迅速に判断し、適切な開示を行うためには、サイバーセキュリティ体制の強化と、インシデント発生時の対応計画の整備が必要になります。また、インシデントの詳細を公開することで、企業の評判に悪影響を及ぼす可能性もあります。
長期的には、この規則がサイバーセキュリティのリスク管理とガバナンスの向上に寄与し、より透明で信頼性の高い市場環境を構築することが期待されます。また、企業間での情報共有を促進し、サイバー攻撃に対する全体的な防御力を高めることにも繋がるでしょう。