金融業界全体でサイバーセキュリティ対策の最優先課題化が進む中、米国証券取引委員会（SEC）もこれに追随している。SECは昨年5月、証券会社、投資顧問会社、移転代理店がデータ侵害を検知するだけでなく、顧客が影響を受ける可能性がある場合に通知するための強固な対策を講じることを義務付ける新たなサイバーセキュリティ規則を全会一致で承認した。 

これらの新規則の対象となる企業は、顧客の非公開個人情報保護に関して長年高い基準を課されてきたが、近年サイバー犯罪が急増していることを受け、SECはさらなる対策が必要と判断した。報告されたデータ侵害件数は2022年から2023年にかけて1,801件から3,205件へと78％という驚異的な増加を示した。被害者は延べ約3億5000万人に上り、損害額は過去最高の445万ドルに達した。

新規制下でのコンプライアンス維持を目指す企業にとって、対応のタイムリミットが迫る中（さらに追加規制の可能性も視野に入れ）、影響を受ける企業が顧客データを保護し、サイバーインシデント発生時に適切に通知するための必須措置を理解することが重要です。以下の重要事項を確認し、全体像を明確に把握してください。

主な考慮事項

• 新規則は、投資会社・投資顧問会社および証券会社が書面による方針と手順を通じて顧客情報と記録を保護することを確保するため、2000年に導入された規則S-Pへの一連の改正である。
• 対象機関は、データ侵害を特定し対応するためのインシデント対応プログラムを書面による方針・手順に組み込むことが義務付けられました。このインシデント対応プログラムの継続的な見直しと更新は義務ではありませんが、推奨されています。
• 手順には、サイバーインシデントの「性質と範囲を評価する」計画と「当該インシデントを封じ込め制御するための適切な措置」を明記しなければなりません。
• これらの新たな改正の核心は、「データ侵害が発生した場合に、機密性の高い顧客情報に不正アクセスされた、または不正に使用された、あるいはその可能性が合理的に認められる個人」への通知義務である。
• 「機密性の高い顧客情報」には、直接の顧客の機密性の高い非公開情報だけでなく、対象機関と情報を共有している金融機関のあらゆる顧客の情報も含まれる。この拡大された定義は、保護措置規則および廃棄規則にも適用される。
• 影響を受けた顧客への通知義務の履行にサービスプロバイダーを利用することは可能ですが、通知要件が満たされていることを確保する責任は当該企業に留保されます。
• 大規模企業には18ヶ月の遵守期間が、小規模企業には24ヶ月の遵守期間が認められています。これらの期間は、改正案が連邦官報に掲載された日から起算されます。

進化するサイバーセキュリティ規制への継続的な対応

サイバーインシデントはますます頻発化し、被害を受けた企業と情報漏洩の被害に遭った顧客の双方にとって損害が大きくなっています。データ侵害被害者をより効果的に保護しようとする規制が今後さらに導入されることは予想されます。実際、規制S-Pへの今回の改正は、SECが今年提案した3つのサイバーセキュリティ対策のうちの1つに過ぎません。

理想的には、より厳格なサイバーセキュリティ規制は関係する全ての組織に利益をもたらすはずですが、その恩恵にはコンプライアンス変更に伴う条件が付随します。対象企業は、これらの規則変更の微妙なニュアンス（一部は微妙に異なる）を確実に理解し、定められた期間内に完全なコンプライアンスを確保しなければなりません。

これらの規則変更において最も重要な点は、インシデント対応プログラムを採用し、方針や手順書に明文化することが義務付けられたことです。この改正への準拠には、適切なインシデント対応プログラムの存在を証明するだけでなく、データ侵害発生時にそのプログラムを効果的に実行することが求められます。

コンプライアンス維持を目指す企業は、インシデント対応プログラムにおける主要担当者を特定し、各々に具体的な役割を割り当て、あらゆるサイバーインシデントに迅速かつ効果的に対応するための必要な訓練を確実に受けさせるべきである。新たなSEC規則を踏まえ、この訓練では顧客への通知計画の概要と重要性を強調すべきである。

第三者のサイバーインシデント対応サービスを活用することは、コンプライアンス確保に寄与するだけでなく、データ侵害による評判的・金銭的損害を大幅に軽減できる。アウトソーシングにより、企業は専門的なインシデント対応チームと最先端技術を利用でき、サイバーセキュリティ計画の強化とSEC規制の遵守を支援します。

模擬インシデント対応演習の実施は多くの組織で一般的になりつつあり、第三者サービスプロバイダーはこれらの演習を効果的に実施する支援が可能です。サイバーインシデントのシミュレーションは実践的な経験を提供し、対応計画の脆弱性を明らかにすることで、それらを把握し対処する手助けとなります。

結論

金融分野におけるテクノロジーの利用が拡大・進化を続け、データ侵害の件数が増加し続ける中、これら両方に歩調を合わせる新たな規則や規制が導入されることが予想されます。コンプライアンスを維持するには、今後の動向を注視し、新規則が現行のポリシーや手順に与える影響を理解し、必要な調整を積極的に行うことが求められます。

内部で業務を行う場合でも、第三者のサービスプロバイダーと協業する場合でも、これらの進化する規制に先んじて対応することが極めて重要です。サイバーセキュリティ問題への対処は、間違いなくSECの今日の最優先事項であり、今後も継続するでしょう。