Last Updated :February 26,2022
2月10日、筆者の手元にSECの緊急リリースが゙届いた。2月9日、証券取引委員会は、登録投資アドバイザー(registered investment advisers)、登録投資会社(registered investment companies)、事業開発会社(ファンド ) (注1)のサイバーセキュリティ・リスク管理に関する規則(CFR)と、投資アドバイザーとファンド開示事業者 (fund disclosures) (注2) (注3)を管理する特定のルールの改正案を広く 公募提案することを決議したという内容である。
この問題はわが国の関係者にとって見逃せない重要な問題であり、その内容を詳しく解説を試みようと考えたが、規則改正案本文は全243 頁であり、とりあえず、(1)リリース文、(2)概要、(3)詳細目次を仮訳することとした。
なお、筆者は2月11 日付けのLexBlog,Inc.の解説記事「SEC Proposes Cybersecurity Regulations for Advisers and Funds」を読んだ。主要論点がよくまとめられおり、併読されたい。また、2月26日筆者の手元にHarvard Law School Forum on Corporate Governance「SEC’s Role in Cybersecurity」が届いた。併せて読まれたい。
1.SEC 緊急リリース文
SEC委員長のゲイリー・ゲンスラー(Gary Gensler)は、「サイバー・リスクは、SECの3部構成の重要任務の一部分、特に投資家を保護し、秩序ある市場を維持するという目標に関連している。今回提案された規則と規則改正は、サイバーセキュリティの準備を強化することを目的としており、サイバーセキュリティの脅威や攻撃に対するアドバイザーや資金の回復力に対する投資家の信頼を高める可能性がある」と冒頭述べた。
。
Gary Gensler委員長
今回提案された規則改正案は、アドバイザーとファンドが、アドバイザリー・クライアントやファンド投資家に損害を与える可能性のあるサイバーセキュリティ・リスクに対処するために設計された書面によるサイバー・セキュリティ・ポリシーと手順を採用し、実施することを要求する。また、提案された規則改正案は、アドバイザーまたはそのファンドまたは民間基金の顧客に影響を与える重大なサイバーセキュリティ・インシデントを新しい機密性を持った様式でSECに報告することをアドバイザーに要求するものである。
また、サイバーセキュリティ・インシデントに関連する投資家をさらに保護するために、この提案は、アドバイザーとファンドが、過去2年間に発生したサイバーセキュリティ・リスクと重大なサイバーセキュリティ・インシデントをパンフレットや登録明細書に公に開示することを要求している。
さらに、今回の提案は、サイバーセキュリティ関連情報の可用性を向上させ、SECの検査および法執行能力を促進するために設計されたアドバイザーとファンドに対する新しい記録管理要件を定めるものである。
本提案は、SEC.govサイト と連邦官報(Federal Register)に掲載される。パブリックコメント期間は、SECのウェブサイト上で提案リリース内容が公開された後60日間、または連邦官報に提案リリースが公表された後30日間、いずれかの期間長い期間となる。
2.概要報告(Fact Sheet)
1.要旨
証券取引委員会は、提案された新しいサイバーセキュリティ・リスクすなわちサイバーセキュリティの準備を強化し、サイバーセキュリティの脅威と攻撃に対する投資アドバイザーと投資会社の回復力を向上させるための管理ルールと改正を検討した。
具体的には、提案は次のようになる。
① サイバーセキュリティ・リスクに対処するために合理的に設計された書面によるポリシーと手順を採用および実装するようにアドバイザーと資金に要求します。
② 提案されたフォームADV-Cについて、重大なサイバーセキュリティ・インシデントを委員会に報告するようアドバイザーに要求する。
③ サイバーセキュリティのリスクとインシデントに関連するアドバイザーとファンドの開示責務を強化する。
④ 特定のサイバーセキュリティ関連の帳簿と記録を維持、作成、および保持するために、アドバイザーとファンドに要求する。
(1)規則改正の背景
アドバイザーとファンドはわが国の金融市場で重要な役割を果たしており、重要な事業運営のためにテクノロジーにますます依存している。 アドバイザーとファンドは、直接および証券保管機関(custodians)、ブローカー、ディーラー、プライシング・サービス(注4)、その他のテクノロジーベンダーなどのサービスプロバイダーを通じて、相互接続されたさまざまなシステムとネットワークにさらされ、それらに依存している。その結果、多くのサイバーセキュリティ・リスクに直面し、重大なシステムまたはプロセスの障害を引き起こしたり悪化させたりする可能性のあるサイバーセキュリティ・インシデントが発生する可能性がある。
今般、提案された規則の改正案は、アドバイザーとファンドのサイバーセキュリティへの備えに関する懸念に対処し、クライアントと投資家に対するサイバーセキュリティ関連のリスクを軽減するように設計されている。また、サイバーセキュリティのリスクとインシデントに関するアドバイザーとファンドの開示責務を改善し、システミックリスクを評価し、アドバイザーとファンドを監督するSECの能力を強化する。
(2) 提案された規則改正案
(ⅰ)サイバーセキュリティ・リスク管理規則案
今回の提案には、「1940年投資顧問法(Investment Advisers Act of 1940)」に基づく新しい規則206(4)-9と「1940年投資会社法(Investment Company Act)」に基づく新しい規則38a-2(これらを総称して「提案されたサイバーセキュリティ・リスク管理規則案という(以下、管理規則案)という」)が含まれている。 管理規則案には、アドバイザーとファンドに対しサイバーセキュリティ・リスクに対処するために合理的に設計されたポリシーと手順を採用および実装するための要求内容が定められている。
管理規則案には、アドバイザーとファンドがサイバーセキュリティポリシーと手順で対処する必要がある特定の一般的な要素がリストされている。
アドバイザリー・クライアントやファンド投資家に損害を与えたり、クライアントや投資家の個人情報を含むアドバイザーやファンド情報への不正アクセスや使用につながる可能性のある運用リスクやその他のリスクに対処するのに役立つ。
(ⅱ)重大なサイバーセキュリティ・インシデントの報告義務
今回の提案には、新しい様式ADV-Cを提出することにより、ファンドまたはプライベートファンドのクライアントに代わって、アドバイザーが重大なサイバーセキュリティ・インシデントをSECに報告することを要求する新しい規則204-6に基づく報告要件が含まれている。これらの機密性を持ったレポートは、SECがサイバーセキュリティの影響を監視および評価するのを支援することにより、投資家を保護するための委員会の取り組みの効率と有効性を強化するとともに、アドバイザーとそのクライアントのサイバー事故および金融市場に影響を与える潜在的なシステミックリスクをより広く評価する。
現在、アドバイザーは、Form ADVの物語風パンフレットまたはパート2Aで、見込み顧客と現在の顧客に開示を提供している。これは、公開されており、顧問が使用する主要な顧客向け開示文書の1つである。フォームADVパート2Aには、投資顧問の商慣行、手数料、リスク、利害の対立、および懲戒情報に関する情報が含まれている。今回の提案は、フォームADVパート2Aを改正して、サイバーセキュリティのリスクとインシデントをアドバイザーや見込み客のクライアントに開示することを要求する。
アドバイザーと同様に、将来および現在の投資家にサイバーセキュリティ関連の開示を提供するための資金も必要になる。具体的には、提案された改正案では、ファンドの登録届出書の過去2会計年度につき構造化データ言語 (注5)でのタグ付けが要求される。この提案には、フォームN-1A、フォームN-2、フォームN-3、フォームN-4、フォームN-6、フォームN-8B-2、およびフォームS-6の修正が含まれている。
(ⅲ)記録の保存義務
1940年投資顧問法に基づく帳簿および記録の規則である規則204-2は、アドバイザーの投資顧問事業に関連する帳簿および記録を維持、作成、および保持するための要件を定めている。今回の提案は、アドバイザーに維持することを要求するためにこの規則を修正するであろう。
提案されたサイバーセキュリティ・リスク管理ルールおよびサイバーセキュリティ・インシデントの発生に関連する特定の記録責務を明記した。同様に、1940年投資会社法の下で提案された規則案38a-2は、ファンドが提案された規則の下で指定されたサイバーセキュリティ・ポリシーと手順およびその他の関連記録のコピーを維持することを要求する。
3.SEC連邦行政規則集(CFR)の改正案の詳細目次
規則改正案は、全243頁と大部である。筆者は時間をかけた翻訳を行いたいところであるが、わが国の研究機関等が取り上げるであることが予想されることから、ここでは詳細な目次のみ原文で挙げる。
TABLE OF CONTENTS
I. INTRODUCTION
A. Adviser and Fund Cybersecurity Risks
B. Current Legal and Regulatory Framework
C. Overview of Rule Proposal
II. DISCUSSION
A. Cybersecurity Risk Management Policies and Procedures
1. Required Elements of Advisers’ and Funds’ Policies and Procedures
a. Risk Assessment
b. User Security and Access
c. Information Protection
d. Threat and Vulnerability Management
2. Annual Review and Required Written Reports
3. Fund Board Oversight
4. Recordkeeping
B. Reporting of Significant Cybersecurity Incidents to the Commission
1. Proposed Rule 204-6
2. Form ADV-C
C. Disclosure of Cybersecurity Risks and Incidents
1. Proposed Amendments to Form ADV Part 2A
2. Cybersecurity Risks and Incidents Disclosure
3. Requirement to Deliver Certain Interim Brochure Amendments to
Existing Clients
4. Proposed Amendments to Fund Registration Statements
Ⅲ. ECONOMIC ANALYSIS
A. Introduction
B. Broad Economic Considerations
C. Baseline
1. Cybersecurity Risks and Practices
2. Regulation
3. Market Structure
D. Benefits and Costs of the Proposed Rule and Form Amendments
1. Cybersecurity Policies and Procedures
a. Benefits
b. Costs
2. Disclosures of Cybersecurity Risks and Incidents
a. Benefits
b. Costs
3. Regulatory Reporting of Cybersecurity Incident
a. Benefits
b. Costs
4. Recordkeeping
a. Benefits
b. Costs
E. Effects on Efficiency, Competition, and Capital Formation
F. Alternatives Considered
1. Alternatives to the Proposed Policies and Procedures Requirement
a. Require Only Disclosure of Cybersecurity Policies and
Procedures Without Prescribing Element
b.Require Cybersecurity Policies and Procedures with More
Limited Prescribed Elements
c.Require Specific Prescriptive Requirements for Addressing
Cybersecurity Risks
d.Require Audits of Internal Controls Regarding Cybersecurity
e. Vary Requirements of the Proposed Rules on Cybersecurity
and Procedures for Different Subsets of Advisers and Funds
f. Administration and Oversight of Cybersecurity Policies and
Procedures
2. Modify Requirements for Structuring Disclosure of Cybersecurity
Risks and Incidents
3.Public Disclosure of Form ADV-C
IV. PAPERWORK REDUCTION ACT ANALYSIS
A. Introduction
B. Rule 206(4)-9
C.Rule 38a-2
D.Rule 204-2
E.Rule 204-6
F.Form ADV-C
G.Form ADV
H. Rule 204-3
I.Form N-1A
J.Form N-2
K.Form N-3
L.Form N-4
M. Form N-6
N.Form N-8B-2 and Form S-6
O.Investment Company Interactive Data
P.Request for Comment
V. INITIAL REGULATORY FLEXIBILITY ACT ANALYSIS
A. Reason For and Objectives of the Proposed Action
1. Proposed Rule 206(4)-9
2. Proposed Rule 38a-2
3. Proposed Amendments to Rule 204-2
4. Proposed Rule 204-6
5. Form ADV-C
6. Proposed Amendments to Form ADV Part 2A
7. Proposed Amendments to Rule 204-3
8. Proposed Amendments to Fund Registration Forms, Rules under the
Securities Act, and Regulation S-T
B. Legal Basis
C. Small Entities Subject to the Rules and Rule Amendments
1. Small Entities Subject to Proposed Rule 206(4)-9, Proposed Rule 204-
6, Proposed Form ADV-C and Proposed Amendments to Rule 204-2,
Rule 204-3, and Form ADV Part 2A
2. Small Entities Subject to Proposed Rule 38a-2 and Proposed
Amendments to Fund Registration Forms
D. Projected Reporting, Recordkeeping and Other Compliance Requirement
1. Proposed Rule 206(4)-9
2. Proposed Rule 38a-2
3.Proposed Amendments to Rule 204-2
4. Proposed Rule 204-6
5. Form ADV-C
6. Proposed Amendments to Form ADV Part 2A
7. Proposed Amendments to Rule 204-3
8. Proposed Amendments to Fund Registration Forms, Rule 485 and
Rule 497 under the Securities Act, and Rule 11 and Rule 405 of
Regulation S-T
E.Duplicative, Overlapping, or Conflicting Federal Rules
1. Proposed Rule 206(4)-9
2. Proposed Rule 38a-2
3. Proposed Amendments to Rule 204-2
4. Proposed Rule 204-6 P.187
5. Form ADV-C
6.Proposed Amendments to Form ADV
7. Proposed Amendments to Rule 204-3
8. Proposed Amendments to Fund Registration Forms, Rules under the
Securities Act, and Regulation S-T
F. Significant Alternatives
1. Proposed Rule 206(4)-9
2.Registration Forms, Rules under the Securities Act, and Regulation S-T
3. Proposed Rule 204-6 and Form ADV-C
1. Proposed Amendments to Form ADV and Rule 204-3
G.Solicitation of Comments
VI. CONSIDERATION OF IMPACT ON THE ECONOMY
VII. STATUTORY AUTHORITY
(以下、略す)
*****************************************************
(注1) Business Development Companies(BDC): 米国において1940年投資会社法(Investment Company Act of 1940)を根拠法として設立された中堅企業や新興企業等の事業開発を金融面及び経営面からサポートする投資会社のこと。BDCは、1980年に、中小及び新興企業への資金供給等を促す目的で誕生したもので、形態はクローズド・エンド型のファンドであり、ニューヨーク証券取引所やナスダック証券取引所に上場している。
(注2) SECの投資管理部門の開示レビューおよび会計監督部(Division of Investment Management’s Disclosure Review and Accounting Office :DRAO)は、投資信託、為替取引ファンド(ETF)、クローズドエンドファンド、変動保険商品、投資信託、および同様のオープン型投資ファンド(注3)に関する目論見書・設立趣意書 (prospectuses)、委任状説明書(proxy statements)、株主報告書(shareholder reports)などの提出書類の見直しを担当している。何百万人ものアメリカ人がこれらの資金を使って、退職金、子供の教育、その他の重要な財政目標に投資しており、SECは、これらの投資家が情報に基づいた投資決定を行うために必要な情報を確実に得られるように取り組んでいる。(https://www.sec.gov/investment/fund-disclosure-at-a-glance から一部抜粋、仮訳)
(注3) mutual fund: 個人から集めた資金を特定の専門家(ファンドマネージャー)に管理・運営を委ね、有価証券などに投資し、その収益を出資額に応じて分配する金融商品。わが国では1951年証券投資信託法に基づいて誕生した。
投資対象は株式・公社債等の有価証券で、投資家から集められた資金で作られた信託財産の運用は専業の投資信託委託会社が行い、管理・処分は信託会社が、販売や換金は証券会社や登録金融機関(証券業務の登録を受けた金融機関)が行う。
運用対象が公社債のみか株式を含むかによって公社債投資信託と株式投資信託に大別され、前者は安全性を後者は収益性をめざしている。投資信託には外貨建てのものもみられるが、これには為替変動リスクがある。(https://www.shiruporuto.jp/public/document/container/yogo/t/toshi_shintaku.html )から引用。
(注4) プライシング・サービスとは、企業の取締役会によって指定された企業がS&PのJ.J ケニー( J.J. Kenny Co., Inc)およびムーディーズ(Moody's Investors Service, Inc.、Moody's Analytics, Inc. ならびに(又は)これらの者のライセンサー及び関連会社をいう)から書面による保証を得て、そのような指定がS&Pおよびムーディーズによって平均市場価格( AMPS)に割り当てられた格付けを損なうことはないことを条件とするもの。
(注5) 構造化データとは、項目の形式や順序など、明確に定義された構造に従って記述、配置されたデータ集合のこと。プログラムによって自動処理するために用いられることが多い。(IT用語辞典(https://e-words.jp/w/%E6%A7%8B%E9%80%A0%E5%8C%96%E3%83%87%E3%83%BC%E3%82%BF.html)から抜粋)
***************************************************************************
Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
