Mimecastは11月14日(米国時間)、「What CISOs Need to Know About Materiality|Mimecast」において、公開会社に課せられる新しい規制によりサイバーインシデントの報告時に「重要性」の評価と説明が今後は求められると報じた。これは米国証券取引委員会(SEC: U.S. Securities and Exchange Commission)が7月26日(米国時間)に公開した文書「SEC.gov | SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies」に記載した規則を解説したものとなる。

What CISOs Need to Know About Materiality|Mimecast

この規則は公開会社がサイバーセキュリティに関する重大なインシデントを経験した場合に、それを開示し、リスクマネジメント、戦略、ガバナンスに関する情報を年次で開示することを義務づけるものとされる。さらに、外国の非公開発行体に対しても同等の開示を義務付けている。Mimecastによると、この規則はほとんどの公開会社に対して2023年12月に発効するため、最高情報セキュリティ責任者(CISO: Chief Information Security Officer)は「重要性」の概念を日常的な考え方に速やかに取り入れることが重要としている。また、この規則は中小の非公開会社に対しても、同様の基準が課される可能性があるという。

Mimecastでは「重要性」を「特定の情報(金額、取引、誤り/不一致)が会社の財務諸表の読者(投資家や貸し手など)の意思決定に影響を与えるほど重要であるかどうかを評価すること」と定義している。これは基本的な会計原則であり、さまざまな会計機関の多くの基準で議論されているが確固としたルールはないとされる。

情報の誤りまたは漏れが「合理的な利用者」の意思決定プロセスに影響を与える場合、その情報の一部は重要とみなされる。逆に差異を生じさせるには小さすぎたり、重要ではなかったりする項目は、重要性が乏しいとみなされる。重要性の判断基準は特定の価値や定義ではなく、財務諸表の読者に影響があるかどうかとされる。ある企業では重要でも、他の企業では重要ではない可能性がある。同じ会社でも成長や構造の変化に伴い、重要性の判断基準が変化する可能性がある。

公開企業にとって典型的な「合理的な利用者」は株式や公的債務を購入、保有、または売却を検討する人とされる。サイバーインシデントは、これら合理的な利用者に影響を与える可能性がある。このため、セキュリティ侵害の重要性の評価では、最高情報セキュリティ責任者に財務的な洞察力が求められる。具体的にはランサムウェア攻撃による被害額、顧客の個人情報漏洩、信頼性の喪失など、直接的、間接的な事柄について重要性の評価が求められる。

これまで重要性の概念は、企業の部門ごとに長い間サイロ化されてきたという。しかしながらMimecastは今後、この新しい規則により企業のすべての部門、特に最高情報セキュリティ責任者はサイバーセキュリティに関する重要性の概念を理解し、それをすべてのプロセスに取り込む必要があるとしている。SECはこの規則を米国の国外の企業にも要求しており、日本国内の企業においても対応を検討することが望まれている。