セキュリティ

　米国の株式公開会社は今後、サイバー攻撃の被害に関してより慎重な姿勢を取らねばならなくなるかもしれない。2011年10月中旬に、米国証券取引委員会（SEC）が新たなガイドラインを発表したからだ。

　SECの企業金融部門が策定した同ガイドラインは、サイバー攻撃を受けた事実や、そうした攻撃が事業におよぼすリスクの規模をいつ発表すればよいのか、その決断を企業が下す際に助けとなるものである。

　米国の株式公開会社は一般的に、ビジネスへ物理的な影響をおよぼしうる事件について情報を公開する義務を負う。以前の規制にはサイバー攻撃についての明確な取り決めが存在しなかったが、新ガイドラインは一部のケースではこうした事件も報告する義務があるとはっきり定義している。

　「当該の企業に対する投資を不確かなものにする、もしくは危機にさらす最も深刻な要素の中にサイバー・インシデントが含まれている場合」、企業はそのリスクを公表すべきであるというのが、2011年10月13日遅くにリリースされた新ガイドラインの骨子だ。

　公表の時期を見極めるには、自分たちが攻撃のターゲットになる確率や、企業活動の中断および機密情報の喪失といった観点から見た攻撃の代償など、企業はさまざまな要素を検討しなければならない。

　これに加え、過去に起こったハッキング・インシデントについても詳細を報告する義務が発生する可能性が出てくる。

　「例えば、企業が過去に重大なサイバー攻撃を受け、システムにマルウェアが埋め込まれたり、顧客データが漏洩したりしているケースでは、同様の攻撃が再び発生する可能性があることを公表するだけでは不十分になる」と、SECは述べている。この場合、過去のインシデントの詳細を明らかにする必要があるそうだ。