アメリカの銀行および金融業界の擁護団体は、サイバーセキュリティ事件の公開要件を廃止するために証券取引委員会に請願しました。

アメリカ銀行協会が率いる5つの米国銀行グループは、5月22日の手紙で規則を削除するよう規制当局に求めました

American banking and financial industry advocacy groups have petitioned the Securities and Exchange Commission to repeal its cybersecurity incident public disclosure requirements.

アメリカの銀行および金融業界の擁護団体は、サイバーセキュリティ事件の公開要件を廃止するために証券取引委員会に請願しました。

Five US banking groups asked the regulator to remove the rule in a May 22 letter, arguing that disclosing cybersecurity incidents “directly conflicts with confidential reporting requirements intended to protect critical infrastructure and warn potential victims.”

5つの米国銀行グループは、5月22日の手紙で規則を削除するよう規制当局に求め、サイバーセキュリティ事件の開示は「重要なインフラストラクチャを保護し、潜在的な被害者に警告することを目的とした機密報告要件と直接対立する」と主張しています。

The group, which also included the Securities Industry and Financial Markets Association, the Bank Policy Institute, Independent Community Bankers of America and the Institute of International Bankers, claimed that the rule compromises regulatory efforts to enhance national cybersecurity.

また、証券産業および金融市場協会、銀行政策研究所、独立コミュニティバンカーオブアメリカ、および国際銀行研究所を含むこのグループは、この規則が国家サイバーセキュリティを強化するための規制努力を損なうと主張しました。

The SEC’s Cybersecurity Risk Management rule, published in July 2023, requires companies to rapidly disclose cybersecurity incidents such as data breaches or hacks. However, the banking groups argue this rule was flawed from the start and has proven problematic in practice since taking effect.

2023年7月に公開されたSECのサイバーセキュリティリスク管理ルールは、企業がデータ侵害やハッキングなどのサイバーセキュリティインシデントを迅速に開示することを要求しています。しかし、銀行グループは、この規則には最初から欠陥があり、実施以来実際に問題があることが証明されていると主張しています。

The banking bodies said that the “complex and narrow disclosure delay mechanism” interferes with incident response and law enforcement and creates “market confusion” between mandatory and voluntary disclosures.

銀行団体は、「複雑で狭い開示遅延メカニズム」がインシデント対応と法執行機関を妨害し、強制的な開示と自発的な開示の間に「市場の混乱」を生み出すと述べました。

Public disclosure has also been “weaponized as an extortion method by ransomware criminals to further malicious objectives,” and premature disclosures worsen insurance and liability issues for companies and “risks chilling candid internal communications and routine information sharing,” the group claimed.

公開開示はまた、「ランサムウェア犯罪者によるさらなる悪意のある目標として強要方法として武器化されている」と述べており、早期の開示は企業の保険と責任の問題を悪化させ、「率直な内部コミュニケーションと日常的な情報共有のリスクを負う」とグループは主張した。

The groups specifically want “Item 1.05” to be rescinded from the SEC’s rules for Form 8-K reporting and parallel reporting requirements applicable to Form 6-K.

グループは、「アイテム1.05」を、フォーム6-Kに適用されるフォーム8-Kレポートおよび並列報告要件のSECの規則から取り消すことを特に望んでいます。

Form 8-K is used to publicly notify investors in US public companies of specified events, including cybersecurity incidents, that may be important to shareholders or the SEC.

フォーム8-Kは、株主またはSECにとって重要な場合があるサイバーセキュリティインシデントを含む特定のイベントを米国の公開企業の投資家に公開するために使用されます。

“Critically, without Item 1.05, investor interests will still be protected, and we believe they would be better served through the pre-existing disclosure framework for reporting material information, which may include material cybersecurity incidents,” the groups stated.

「批判的には、項目1.05がなければ、投資家の利益は依然として保護されており、重要なサイバーセキュリティインシデントを含む可能性のある物質情報を報告するための既存の開示フレームワークを通じて、それらはより適切に対応できると考えています」とグループは述べています。

Related: Hackers using fake Ledger Live app to steal seed phrases and drain crypto

関連：偽の元帳ライブアプリを使用してシードフレーズを盗み、暗号を排出するハッカー

The full petition included examples of confusion from participants, specific incidents of ransomware attacks and documented regulatory conflicts.

完全な請願には、参加者からの混乱の例、ランサムウェア攻撃の特定のインシデント、および規制紛争の文書化された例が含まれていました。

Public crypto companies impacted

公共の暗号企業が影響を与えました

The requirement also impacts publicly listed crypto companies such as Coinbase, which disclosed earlier this month that hackers had bribed its support staff to leak its user data.

この要件は、Coinbaseなどの公開されている暗号会社にも影響を与えます。これは、ハッカーがサポートスタッフにユーザーデータを漏らして賄briしたことを今月初めに明らかにしました。

The disclosure saw the company hit with at least seven lawsuits over the requirement.

この開示により、会社は要件をめぐる少なくとも7つの訴訟で打撃を受けました。

Coinbase said that it rejected a $20 million ransom demand after staff leaked user data in a major phishing attack, which the exchange said could cost it up to $400 million in damages.

Coinbaseは、スタッフが大規模なフィッシング攻撃でユーザーデータをリークした後、2,000万ドルの身代金需要を拒否したと述べました。

If the SEC rescinds the requirement, it may give firms such as Coinbase more time to disclose cybersecurity incidents to the public.

SECが要件を取り消すと、Coinbaseなどの企業がサイバーセキュリティ事件を一般に開示する時間を増やすことができます。