Last updated on 2024年2月24日
米国証券取引委員会(SEC)の新しい規則が施行された今、企業とその情報セキュリティ責任者(CISO)は、サイバーセキュリティおよびデータ違反の開示プロセスを整備しなければ、数十万ドルから数百万ドルに及ぶ罰金やその他のペナルティに直面する可能性があります。
SECには、違反行為を取り締まるために使用できるさまざまなツールがあり、これには永久的な差し止め命令から、不正に得た利益の返還、さらには天文学的な罰金に至るまでの3段階のエスカレーションペナルティが含まれます。
加えて、SECは個人を特定の役割から排除することができ、例えば他の企業の取締役会の席を禁じることができます。このようなケースは、法的費用の増加、ビジネスおよび幹部への評判損失、株主訴訟からの金銭的損害にもつながります。
SEC違反規則の影響
企業は、SECが調査する準備を整える必要があります。これには、CISOが規則を遵守する能力を持つことを確実にすることが含まれます。SECは、これが執行の優先事項であることを非常に明確にしており、CISOがサイバーセキュリティコンプライアンス対策を知り、直面しているリスクを最もよく理解している人物であるため、CISOに責任を負わせる意向を明確にしています。
CISOの懸念
CISOは、ビジネス運営の多くの領域に対してこれまでにないレベルの個人的責任を負っています。SECの規則に準拠する自信があるCISOは半数(54%)に過ぎず、新規則に対処することに圧倒されているCISOが2/3(68%)に上るという調査結果もあります。
対策と保険
追加の責任により、企業はCISOを守るために、法的費用だけでなく、調査中の費用もカバーするより包括的な取締役および役員(D&O)責任保険を必要とするでしょう。支援と保護を提供しない企業は、CISOのポジションを埋めることができなくなる可能性があります。
まとめ
SECの違反開示規則は、セキュリティに注意を払い、プロセスを確立することを企業に通知しています。ポリシーを持ち、そのポリシーに従う企業とCISOは、後に初期の決定が間違っていたと証明された場合でも、執行措置についてあまり心配する必要はないでしょう。