サイバーセキュリティー事故が発生した場合、クーパンは4営業日以内に公示しなければならない。しかし、いまだ関連公示を出していないため、今後SECの課徴金賦課などの制裁を受ける可能性がある。これに先立ち、ヤフーは2018年に顧客情報流出を適切に公示しなかったという理由で3500万ドル(約54億円)の罰金が科された。
1日、SECによると、上場企業が「重大なサイバーセキュリティー事故(material cybersecurity incident)」を発生させた場合、これを4営業日以内に公示しなければならない。クーパンはいまだに、今回の個人情報流出に関する公示をしていない。
去る2023年7月からSECは上場企業に対し、セキュリティー事故が発生すれば新規項目である8-Kアイテム1.05で公示するように定めた。これにより企業はサイバー事故の重大性を認識した時点で、その判断から4営業日以内にその事故の性質、範囲、時点、潜在的影響などを8-Kで公示しなければならない。
クーパンが個人情報流出を初めて認知し申告した時期は先月18日だ。クーパンは先月18日の22時にこれを認知し、翌日政府に申告した。
SECは定期報告書(10-K)にサイバーリスク管理体制、戦略、ガバナンスなどに関する情報を含めるよう義務化した。クーパンはことし2月に提出した定期報告書では、「サイバーセキュリティーの脅威によるリスクが事業戦略、営業実績、財務状況などに重大な(materially)影響を及ぼさなかった」と明らかにしていた。しかし、これに反して大規模情報流出が発生し、今後大きな波紋を広げそうだ。
クーパン側の個人情報流出に関する公示計画は、まだ明らかになっていない。
個人情報流出はSECが「重大な情報」と判断し得る問題であり、上場会社が公示を遅延したり漏らした場合、規制リスクが大きく拡大する。米国ではサイバーセキュリティー事故が企業価値と投資家の判断に直結すると見なされており、遅延公示だけでも強い制裁が下されたケースが少なくない。
代表的にSECは2018年、ヤフーが5億人規模の顧客情報が流出した事実を2年以上にわたり適切に公示しなかったという理由で、3500万ドルの罰金を科した。SECは当時、「ヤフーはサイバー情報公開義務に関する情報統制手続きの遵守を怠り、投資家が膨大な規模のデータ流出事件をまったく把握できないようにした」と発表した。
一方、韓国国内ではサイバーセキュリティー事故が「投資家公示」の義務として分類されていない。韓国の資本市場法において、定期公示・随時公示の対象にはハッキング・情報流出のようなセキュリティー事故は含まれない。その代わりに、企業は個人情報保護法と電気通信事業法に基づき、放送通信委員会、個人情報保護委員会に事故の事実を申告するにとどまる。
Copyrights(C) Herald wowkorea.jp 104
