検索
連載

医療機器大手ストライカーの事例に見る米国サイバーインシデント情報開示の複雑性海外医療技術トレンド(130)(2/3 ページ)

本連載第124回では、HIPAA/HITECH法に基づき、米国保健福祉省が開示したデータ侵害インシデント事案を紹介したが、それ以外の法規制に基づくインシデント情報開示も増えている。

Share
Tweet
LINE
Hatena
前のページへ | 次のページへ

ストライカーのForm 8-K臨時報告書によるインシデント情報開示事例

 ここからは、最近、医療機器企業で発生したサイバーインシデントの情報開示事例を取り上げる。2026年3月11日、米国の医療機器製造企業であるストライカー(Stryker)は、SECに、同日付の「Form 8-K臨時報告書」を提出し、その中でセキュリティインシデントが発生したことを公表した(図1参照、関連情報)。同社は、米国ミシガン州カラマズーに本社を置く企業であり、NYSE(ニューヨーク証券取引所)に上場している。

図1
図1 SEC(米国証券取引委員会)のForm 8-K臨時報告書公開事例(ストライカー)[クリックで拡大] 出所:U.S. Security and Exchange Commission (SEC)「Company Search > STRYKER CORP SYK on NYSE」(2026年4月9日時点)

 このうち表1は、2026年3月11日付Form 8-K臨時報告書(関連情報)を提出した時点で開示したサイバーセキュリティインシデント関連情報の概要を整理したものである。

表1
表1 ストライカーのサイバーセキュリティインシデントに関する2026年3月11日付Form 8-K臨時報告書の概要[クリックで拡大] 出所:U.S. Security and Exchange Commission (SEC)「FORM 8-K CURRENT REPORT: Stryker Corporation」(2026年3月11日)を基にヘルスケアクラウド研究会作成

 ストライカーは翌3月12日にも、Form 8-K臨時報告書(関連情報)をSECに提出している。ここでは、8-Kの中でも特に“投資家への公平な情報開示”を目的とした項目である「Reg FD(Regulation Fair Disclosure)」を開示している。

 この2回目の8-K臨時報告書によると、2026年3月12日、同社のCISO(最高情報セキュリティ責任者)であるデイブ・ナサン(Dave Nathans)氏が、一部顧客およびサイバーセキュリティコミュニティーの関係者に対し、進行中のインシデントに関する最新情報を提供したとしている。

 本会合において、ストライカーは、受注処理、製造、出荷といった事業運営に引き続き支障が生じていることを説明した。加えて、同社は、患者関連サービスが中断されたとは考えておらず、また同社の「接続された製品(Connected Products)」が今回のインシデントの影響を受けたとは認識していない。前回と同様に調査は継続中であり、その全容、性質、影響(事業運営上および財務上の影響を含む)は、現時点ではまだ判明していないとしている。

 さらにストライカーは、2026年3月23日、3回目のForm 8-K臨時報告書(関連情報)をSECに提出した。表2は、この中で開示したサイバーセキュリティインシデント関連情報の概要を整理したものである。

表2
表2 ストライカーのサイバーセキュリティインシデントに関する2026年3月23日付Form 8-K臨時報告書の概要[クリックで拡大] 出所:U.S. Security and Exchange Commission (SEC)「FORM 8-K CURRENT REPORT: Stryker Corporation」(2026年3月23日)を基にヘルスケアクラウド研究会作成

 その後2026年4月9日、ストライカーはForm 8-K/A第1回修正報告書(関連情報)をSECに提出している。この修正報告書を提出した時点で、同社のグローバルな製造ネットワーク、営業、注文、配送システムは完全に復旧し、稼働しているとしている。

 またストライカーが2026年4月9日時点で入手可能な情報および事案発生後の数週間に明らかになった定量的/定性的因子の双方を評価した結果、同社は本インシデントが業務に重大な影響(material impact)を及ぼし、その結果として2026年度第1四半期の財務業績に影響が出たと判断したとしている。この判断を下すに当たり、同社は業務の中断範囲と期間、影響を受けたシステム、ならびに顧客、規制当局、その他への潜在的な影響などの要因を考慮したという。その一方でストライカーは、本インシデントが2026年度通期の業績ガイダンスに対して重大な影響を及ぼしたとは考えておらず、また及ぼす可能性も低いと考えているとしている。

 このように、投資家が企業の最新かつ正確な状況を把握できるよう、情報のアップデートを行うのがForm 8-K/Aの役割である。ストライカーは、SECサイバーセキュリティ規則の要求事項に重大な事象が発生したと判断してから4営業日以内に、Form 8-K臨時報告書によるサイバーセキュリティインシデントを報告している。その後の更新情報についても、Form 8-K臨時報告書やForm 8-K/A修正報告書による報告を行っており、SECが求める「重大なインシデントの適時開示」を継続していることが分かる。

 なお、ストライカーは、同社公式Webサイト上に「Customer Updates: Stryker Network Disruption」ページを設け、2026年3月11日以降、顧客やステークホルダー向けにインシデントの概要/影響範囲、復旧状況や、製品の安全性について報告している(関連情報)。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ | 次のページへ
ページトップに戻る