------------------------------------------------------------------------
JCIC海外動向ニュースクリップ（2018/3/6）
------------------------------------------------------------------------

[コンテンツ]
【1】米国証券取引委員会（SEC）の情報開示に関する新指針／研究員コメント
【2】海外政策動向一覧
【3】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】米国証券取引委員会（SEC）の情報開示に関する新指針／研究員コメント
------------------------------------------------------------------------
米国の証券取引所に上場している企業は、ステークホルダー向けに年次報告書の提出が求められている。米国企業であればForm10-K、米国外の企業であればForm20-Fというフォーマットを用いて提出される必要があり、日本における有価証券報告書に該当する。2011年、SECはForm10-K、Form20-FのRisk Factorsにサイバーセキュリティのリスクとインシデントに関連する情報開示を記載すべきだという指針を発表していた。

そして、今年2月、SECは上場企業がサイバーリスクやデータ流出を開示すべき方法と時期について、新たな指針を発表した（※）。この指針では、企業のサイバー攻撃の被害に関する情報公開のポリシーを定めること、また経営者が自社へのサイバー攻撃に関する非公開の情報を持っている場合は自社株の取引を控えるべきだとしている。

ここで重要なポイントとしては、2月に発表したSEC指針の背景である。近年、米国企業ではサイバー攻撃の被害を経営者や従業員がしばらく隠蔽し、その間にインサイダー取引と思われる行動を行っていたことが社会的な問題になっている。例えば、昨年Equifax社がサイバー攻撃を受け、被害の公表を差し控えている間、3人の従業員が2.2億円相当の株式を売却していたことが判明した。Uberはサイバー攻撃の被害を受けたことを内密にするために、攻撃者に対して1200万円を支払っていたことが明らかになった。今年1月にCPUの脆弱性が公開される前に、IntelのCEOは大量の自社株を売却していたことが明るみになり、大きな非難を受けた。

＜研究員コメント＞
日本でも、サイバーセキュリティ対策の状況について、有価証券報告書等への記載を通じて開示することが政府機関の文書で記載されているが、米国ではセキュリティ事故発生時のインサイダー取引が株主の間で大きな問題になっている背景を理解しておく必要がある。グローバル展開する日本企業は、セキュリティに関する事業リスクを有価証券報告書に記載するだけではなく、セキュリティ事故発生後にどのように公表するか、インサイダー取引をどう防ぐかという方針を開示することも今後求められるだろう。

（※）米国証券取引委員会（SEC）の情報開示に関する新指針
https://www.sec.gov/news/public-statement/statement-clayton-2018-02-21

------------------------------------------------------------------------
【2】海外政策動向一覧（2018年2月24日～3月2日）
------------------------------------------------------------------------
2018年3月1日 英国NCSCが、小規模な慈善団体向けのサイバーセキュリティ手引きを発行
英国NCSC（National Cyber Security Center）が、小規模な慈善団体向けのサイバーセキュリティ手引きを発行した。この手引きには、データバックアップの重要性、パスワードの適切な管理等の5つのTipsがまとめられている。
https://www.ncsc.gov.uk/blog-post/were-trying-cure-cancer-why-would-anyone-attack-us

2018年3月1日 英国Cyber Awareがサイバーセキュリティの誤解に関するレポートを公表
英国Cyber Awareは、個人や中小企業向けにサイバーセキュリティの誤解に関するレポートを公表した。このレポートでは、「サイバー犯罪は自分に関係がない」、「サイバー犯罪に対して自分では何もできない」等の誤解を解いている。
https://www.cyberaware.gov.uk/perceptiongap

------------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
2月5日 KDDIとラック、総合セキュリティソリューションを提供する合弁会社を設立
2月5日 SKOUT SECURE INTELLIGENCEがOxford Solutionsの事業を統合
2月6日 ProofpointがWombat Security Technologiesの買収で合意
2月9日 NEC、南アフリカのICTソリューション企業XON社を子会社化
2月12日 ゼネラル・ダイナミクス、ITサービスのCSRAを68億ドルで買収
2月14日 ラック、セキュリティ事業拡大に向けアジアンリンク社を子会社化
2月14日 ヴイエムウェア、クラウドセキュリティ強化に向け新興企業CloudCoreo買収
2月15日 オラクルがDDoS対策のZenedgeの買収を発表
2月20日 Fulcrum IT Servicesが、PTR Groupを買収
2月22日 コニカミノルタ、米国サイバーセキュリティコンサルティングのVioPointの資産を取得
2月22日 デンソー、米国でサイバーセキュリティ技術を開発するDellFer社に出資
2月22日 日商エレクトロニクス、AIセキュリティ事業のVectra Networks社へ出資
2月26日 アルグス・サイバー・セキュリティがエリクソンと提携
2月28日 Splunkがセキュリティ自動化技術のPhantom Cyberを買収
3月1日 インドWiproが米国Denim Groupへ出資