検索
連載

医療機器大手ストライカーの事例に見る米国サイバーインシデント情報開示の複雑性海外医療技術トレンド(130)(1/3 ページ)

本連載第124回では、HIPAA/HITECH法に基づき、米国保健福祉省が開示したデータ侵害インシデント事案を紹介したが、それ以外の法規制に基づくインシデント情報開示も増えている。

Share
Tweet
LINE
Hatena

投資家保護の視点に立った米国SECサイバーセキュリティ規則

 本連載第124回では、HIPAA(医療保険の携行性と責任に関する法律)/HITECH法(経済的および臨床的健全性のための医療情報技術に関する法律)に基づき、HHS(米国保健福祉省)が開示したCE(適用対象事業者)やBA(事業提携者)によるデータ侵害インシデント事例を紹介した。現在も、「電子保護対象保健情報のセキュリティ強化のためのHIPAAセキュリティ規則制定案告示(NPRM)」(関連情報)の最終規則化に向けた作業が行われているが、HIPAA以外のさまざまな法規制に基づくインシデント情報開示も増えている。

⇒連載「海外医療技術トレンド」バックナンバー

 例えば、SEC(米国証券取引委員会)が2023年7月26日に採択したサイバーセキュリティ規則(関連情報)では、米国内の市場に株式を公開する企業に対して、「重大なインシデントの適時開示」と「年次報告書でのガバナンス・戦略の開示」という2つの大きな情報開示義務が課されている。具体的には、以下のような義務がある。

  • 重大な事象(Material Event)が発生したと判断してから4営業日以内に、Form 8-Kを用いてサイバーセキュリティインシデントを報告しなければならない
  • 既報のサイバーセキュリティインシデントに関する更新情報は、Form 8-Kの修正申告として報告しなければならない
  • 定期報告書において、サイバーセキュリティの脅威による重大なリスク(Material Risks)を評価/特定/管理するためのプロセスおよび当該リスクが登録者の事業戦略、経営成績、または財務状況に重大な影響を及ぼしたか否かを開示しなければならない。また、サイバーセキュリティの脅威によるリスクに対する取締役会の監督体制および当該リスクの評価・管理における経営陣の役割についても報告が義務付けられる。外国民間発行体(FPI:Foreign Private Issuers)に対しても、これに準ずる開示が求められる

 米国の大規模医療施設や薬局チェーン、医療保険者、医療機器企業、医薬品企業およびこれらの外部委託先ベンダーなど、米国市場において株式を公開している企業はSEC規則の適用対象となる。加えて、米国預託証券(ADR:American Depositary Receipt)を発行している米国外の企業も、重大なサイバーインシデントが発生した場合は、外国民間発行体向けのForm 6-K適時報告書により開示する義務があるので、注意が必要だ。

 SECの場合、あくまで投資家への影響に焦点を当てた情報開示を求めており、サイバーセキュリティインシデントに関する技術的スペックや脆弱性の所在までを公開することは求めていない。また、インシデントの「発生日」や「発見日」ではなく、企業がそれを「重大であると判断(Determination)した日」を起点として4営業日以内に報告することを求めている(ただし、この判断を不当に遅らせることは認められない)。そしてSECに提出したForm 8-Kは、法的な公開義務に基づく書類であり、「公文書(Public Record)」に該当するので、即座に、誰でも閲覧/取得が可能な状態になる。

 過去にSECは、不適切なインシデント情報開示を行った企業に対して制裁金を科したケースがあることから(関連情報)、迅速かつ慎重な対応が求められている。重要な点は、株主や投資家に対する説明責任を果たせるのは、企業の代表権を有する代表取締役/CEOになることだ。従って、企業本社のコーポレート部門と製品事業部門の間で、円滑なリスクコミュニケーションを実行する体制づくりが不可欠となる。

国家安全保障と刑事犯罪の視点からSECと連携するFBI

 2023年のSECサイバーセキュリティ規則制定を受けて、FBI(米国連邦捜査局)は司法省と連携し、「SECの報告要求事項:サイバーインシデント被害者向けのFBIガイダンス」を発表している(関連情報)。このガイダンスでは、国家安全保障または公共安全上の理由により重大なリスクをもたらす可能性があると登録企業が判断した場合、できるだけ早期にFBIに直接、またはUSSS(米国シークレットサービス)、CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)、その他のセクター別リスク管理機関を通じて連絡することを強く推奨している。FBIは、全ての上場企業が、所在地域のFBIフィールドオフィスのサイバー部門と関係を構築しておくことを推奨している。この早期の連絡により、企業が重大性判断を行う前に、FBIがインシデントの事実関係や状況を把握することが可能になるとしている。

 FBIは、以下のようなインシデントについて迅速な報告を推奨している。

  • ランサムウェア攻撃
  • BEC(ビジネスメール詐欺)
  • 重大なデータ侵害
  • APT(国家主体)による攻撃
  • 重要インフラへの攻撃

 FBI本部にはサイバー部門があり(関連情報)、米国内のサイバー脅威に対する捜査の司令塔となり、国家安全保障と刑事犯罪の両面から「敵対者にコストを強いる(Impose Costs)」ことを使命としている。主な役割は、以下の3つである。

  1. 国家安全保障に関わるサイバー侵入の阻止:
    外国政府が関与する国家支援型脅威によるスパイ活動、知的財産窃盗、重要インフラ(エネルギー、金融、医療など)への攻撃を阻止する
  2. 重大なサイバー犯罪の捜査と訴追:
    ランサムウェア、BECなど、経済的利益を目的とした国際的な犯罪組織による活動を阻止する
  3. 戦略的パートナーシップとインテリジェンスの共有:
    FBIの独自権限(司法/インテリジェンス両面)で得た情報を、防御に役立てるために発信し、NCIJTF(国家サイバー捜査共同タスクフォース)や民間との情報分析/共有活動で連携する

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ
ページトップに戻る