スキップしてメイン コンテンツに移動

米証券取引委員会(SEC)が登録投資アドバイアーやファンドに対するサイバーセキュリティ・リスク管理規則の改正案を提案、コメントの公募

 Last Updated :February 26,2022

2月10日、筆者の手元にSECの緊急リリースが゙届いた。2月9日、証券取引委員会は、登録投資アドバイザー(registered investment advisers)、登録投資会社(registered investment companies)、事業開発会社(ファンド ) (注1)のサイバーセキュリティ・リスク管理に関する規則(CFR)と、投資アドバイザーとファンド開示事業者 (fund disclosures) (注2) (注3)を管理する特定のルールの改正案を広く 公募提案することを決議したという内容である。

 この問題はわが国の関係者にとって見逃せない重要な問題であり、その内容を詳しく解説を試みようと考えたが、規則改正案本文は全243 頁であり、とりあえず、(1)リリース文、(2)概要、(3)詳細目次を仮訳することとした。

  なお、筆者は2月11 日付けのLexBlog,Inc.の解説記事「SEC Proposes Cybersecurity Regulations for Advisers and Funds」を読んだ。主要論点がよくまとめられおり、併読されたい。また、2月26日筆者の手元にHarvard Law School Forum on Corporate Governance「SEC’s Role in Cybersecurity」が届いた。併せて読まれたい。

 1.SEC 緊急リリース文

 SEC委員長のゲイリー・ゲンスラー(Gary Gensler)は、「サイバー・リスクは、SECの3部構成の重要任務の一部分、特に投資家を保護し、秩序ある市場を維持するという目標に関連している。今回提案された規則と規則改正は、サイバーセキュリティの準備を強化することを目的としており、サイバーセキュリティの脅威や攻撃に対するアドバイザーや資金の回復力に対する投資家の信頼を高める可能性がある」と冒頭述べた。

Gary Gensler委員長

 今回提案された規則改正案は、アドバイザーとファンドが、アドバイザリー・クライアントやファンド投資家に損害を与える可能性のあるサイバーセキュリティ・リスクに対処するために設計された書面によるサイバー・セキュリティ・ポリシーと手順を採用し、実施することを要求する。また、提案された規則改正案は、アドバイザーまたはそのファンドまたは民間基金の顧客に影響を与える重大なサイバーセキュリティ・インシデントを新しい機密性を持った様式でSECに報告することをアドバイザーに要求するものである。

 また、サイバーセキュリティ・インシデントに関連する投資家をさらに保護するために、この提案は、アドバイザーとファンドが、過去2年間に発生したサイバーセキュリティ・リスクと重大なサイバーセキュリティ・インシデントをパンフレットや登録明細書に公に開示することを要求している。

 さらに、今回の提案は、サイバーセキュリティ関連情報の可用性を向上させ、SECの検査および法執行能力を促進するために設計されたアドバイザーとファンドに対する新しい記録管理要件を定めるものである。

 本提案は、SEC.govサイト と連邦官報(Federal Register)に掲載される。パブリックコメント期間は、SECのウェブサイト上で提案リリース内容が公開された後60日間、または連邦官報に提案リリースが公表された後30日間、いずれかの期間長い期間となる。

2.概要報告(Fact Sheet)

1.要旨

 証券取引委員会は、提案された新しいサイバーセキュリティ・リスクすなわちサイバーセキュリティの準備を強化し、サイバーセキュリティの脅威と攻撃に対する投資アドバイザーと投資会社の回復力を向上させるための管理ルールと改正を検討した。

 具体的には、提案は次のようになる。

① サイバーセキュリティ・リスクに対処するために合理的に設計された書面によるポリシーと手順を採用および実装するようにアドバイザーと資金に要求します。

② 提案されたフォームADV-Cについて、重大なサイバーセキュリティ・インシデントを委員会に報告するようアドバイザーに要求する。

③ サイバーセキュリティのリスクとインシデントに関連するアドバイザーとファンドの開示責務を強化する。

④ 特定のサイバーセキュリティ関連の帳簿と記録を維持、作成、および保持するために、アドバイザーとファンドに要求する。

(1)規則改正の背景

 アドバイザーとファンドはわが国の金融市場で重要な役割を果たしており、重要な事業運営のためにテクノロジーにますます依存している。 アドバイザーとファンドは、直接および証券保管機関(custodians)、ブローカー、ディーラー、プライシング・サービス(注4)、その他のテクノロジーベンダーなどのサービスプロバイダーを通じて、相互接続されたさまざまなシステムとネットワークにさらされ、それらに依存している。その結果、多くのサイバーセキュリティ・リスクに直面し、重大なシステムまたはプロセスの障害を引き起こしたり悪化させたりする可能性のあるサイバーセキュリティ・インシデントが発生する可能性がある。

 今般、提案された規則の改正案は、アドバイザーとファンドのサイバーセキュリティへの備えに関する懸念に対処し、クライアントと投資家に対するサイバーセキュリティ関連のリスクを軽減するように設計されている。また、サイバーセキュリティのリスクとインシデントに関するアドバイザーとファンドの開示責務を改善し、システミックリスクを評価し、アドバイザーとファンドを監督するSECの能力を強化する。

 (2) 提案された規則改正案

(ⅰ)サイバーセキュリティ・リスク管理規則案

  今回の提案には、「1940年投資顧問法(Investment Advisers Act of 1940)」に基づく新しい規則206(4)-9と「1940年投資会社法(Investment Company Act)」に基づく新しい規則38a-2(これらを総称して「提案されたサイバーセキュリティ・リスク管理規則案という(以下、管理規則案)という」)が含まれている。 管理規則案には、アドバイザーとファンドに対しサイバーセキュリティ・リスクに対処するために合理的に設計されたポリシーと手順を採用および実装するための要求内容が定められている。

 管理規則案には、アドバイザーとファンドがサイバーセキュリティポリシーと手順で対処する必要がある特定の一般的な要素がリストされている。

 アドバイザリー・クライアントやファンド投資家に損害を与えたり、クライアントや投資家の個人情報を含むアドバイザーやファンド情報への不正アクセスや使用につながる可能性のある運用リスクやその他のリスクに対処するのに役立つ。

(ⅱ)重大なサイバーセキュリティ・インシデントの報告義務

 今回の提案には、新しい様式ADV-Cを提出することにより、ファンドまたはプライベートファンドのクライアントに代わって、アドバイザーが重大なサイバーセキュリティ・インシデントをSECに報告することを要求する新しい規則204-6に基づく報告要件が含まれている。これらの機密性を持ったレポートは、SECがサイバーセキュリティの影響を監視および評価するのを支援することにより、投資家を保護するための委員会の取り組みの効率と有効性を強化するとともに、アドバイザーとそのクライアントのサイバー事故および金融市場に影響を与える潜在的なシステミックリスクをより広く評価する。

 現在、アドバイザーは、Form ADVの物語風パンフレットまたはパート2Aで、見込み顧客と現在の顧客に開示を提供している。これは、公開されており、顧問が使用する主要な顧客向け開示文書の1つである。フォームADVパート2Aには、投資顧問の商慣行、手数料、リスク、利害の対立、および懲戒情報に関する情報が含まれている。今回の提案は、フォームADVパート2Aを改正して、サイバーセキュリティのリスクとインシデントをアドバイザーや見込み客のクライアントに開示することを要求する。

 アドバイザーと同様に、将来および現在の投資家にサイバーセキュリティ関連の開示を提供するための資金も必要になる。具体的には、提案された改正案では、ファンドの登録届出書の過去2会計年度につき構造化データ言語 (注5)でのタグ付けが要求される。この提案には、フォームN-1A、フォームN-2、フォームN-3、フォームN-4、フォームN-6、フォームN-8B-2、およびフォームS-6の修正が含まれている。

(ⅲ)記録の保存義務

 1940年投資顧問法に基づく帳簿および記録の規則である規則204-2は、アドバイザーの投資顧問事業に関連する帳簿および記録を維持、作成、および保持するための要件を定めている。今回の提案は、アドバイザーに維持することを要求するためにこの規則を修正するであろう。

 提案されたサイバーセキュリティ・リスク管理ルールおよびサイバーセキュリティ・インシデントの発生に関連する特定の記録責務を明記した。同様に、1940年投資会社法の下で提案された規則案38a-2は、ファンドが提案された規則の下で指定されたサイバーセキュリティ・ポリシーと手順およびその他の関連記録のコピーを維持することを要求する。

3.SEC連邦行政規則集(CFR)の改正案の詳細目次

 規則改正案は、全243頁と大部である。筆者は時間をかけた翻訳を行いたいところであるが、わが国の研究機関等が取り上げるであることが予想されることから、ここでは詳細な目次のみ原文で挙げる。

TABLE OF CONTENTS
I. INTRODUCTION
A. Adviser and Fund Cybersecurity Risks
B. Current Legal and Regulatory Framework
C. Overview of Rule Proposal
II. DISCUSSION
A. Cybersecurity Risk Management Policies and Procedures
1. Required Elements of Advisers’ and Funds’ Policies and Procedures
a. Risk Assessment
b. User Security and Access
c. Information Protection
d. Threat and Vulnerability Management
2. Annual Review and Required Written Reports
3. Fund Board Oversight
4. Recordkeeping
B. Reporting of Significant Cybersecurity Incidents to the Commission
1. Proposed Rule 204-6
2. Form ADV-C
C. Disclosure of Cybersecurity Risks and Incidents
1. Proposed Amendments to Form ADV Part 2A
2. Cybersecurity Risks and Incidents Disclosure
3. Requirement to Deliver Certain Interim Brochure Amendments to
Existing Clients
4. Proposed Amendments to Fund Registration Statements
Ⅲ. ECONOMIC ANALYSIS
A. Introduction
B. Broad Economic Considerations
C. Baseline
1. Cybersecurity Risks and Practices
2. Regulation
3. Market Structure
D. Benefits and Costs of the Proposed Rule and Form Amendments
1. Cybersecurity Policies and Procedures
a. Benefits
b. Costs
2. Disclosures of Cybersecurity Risks and Incidents
a. Benefits
b. Costs
3. Regulatory Reporting of Cybersecurity Incident
a. Benefits
b. Costs
4. Recordkeeping
a. Benefits
b. Costs
E. Effects on Efficiency, Competition, and Capital Formation
F. Alternatives Considered
1. Alternatives to the Proposed Policies and Procedures Requirement
a. Require Only Disclosure of Cybersecurity Policies and
Procedures Without Prescribing Element
b.Require Cybersecurity Policies and Procedures with More
Limited Prescribed Elements
c.Require Specific Prescriptive Requirements for Addressing
Cybersecurity Risks
d.Require Audits of Internal Controls Regarding Cybersecurity
e. Vary Requirements of the Proposed Rules on Cybersecurity
and Procedures for Different Subsets of Advisers and Funds
f. Administration and Oversight of Cybersecurity Policies and
Procedures
2. Modify Requirements for Structuring Disclosure of Cybersecurity
Risks and Incidents
3.Public Disclosure of Form ADV-C
IV. PAPERWORK REDUCTION ACT ANALYSIS
A. Introduction
B. Rule 206(4)-9
C.Rule 38a-2
D.Rule 204-2
E.Rule 204-6
F.Form ADV-C
G.Form ADV
H. Rule 204-3
I.Form N-1A
J.Form N-2
K.Form N-3
L.Form N-4
M. Form N-6
N.Form N-8B-2 and Form S-6
O.Investment Company Interactive Data
P.Request for Comment
V. INITIAL REGULATORY FLEXIBILITY ACT ANALYSIS
A. Reason For and Objectives of the Proposed Action
1. Proposed Rule 206(4)-9
2. Proposed Rule 38a-2
3. Proposed Amendments to Rule 204-2
4. Proposed Rule 204-6
5. Form ADV-C
6. Proposed Amendments to Form ADV Part 2A
7. Proposed Amendments to Rule 204-3
8. Proposed Amendments to Fund Registration Forms, Rules under the
Securities Act, and Regulation S-T
B. Legal Basis
C. Small Entities Subject to the Rules and Rule Amendments
1. Small Entities Subject to Proposed Rule 206(4)-9, Proposed Rule 204-
6, Proposed Form ADV-C and Proposed Amendments to Rule 204-2,
Rule 204-3, and Form ADV Part 2A
2. Small Entities Subject to Proposed Rule 38a-2 and Proposed
Amendments to Fund Registration Forms
D. Projected Reporting, Recordkeeping and Other Compliance Requirement
1. Proposed Rule 206(4)-9
2. Proposed Rule 38a-2
3.Proposed Amendments to Rule 204-2
4. Proposed Rule 204-6
5. Form ADV-C
6. Proposed Amendments to Form ADV Part 2A
7. Proposed Amendments to Rule 204-3
8. Proposed Amendments to Fund Registration Forms, Rule 485 and
Rule 497 under the Securities Act, and Rule 11 and Rule 405 of
Regulation S-T
E.Duplicative, Overlapping, or Conflicting Federal Rules
1. Proposed Rule 206(4)-9
2. Proposed Rule 38a-2
3. Proposed Amendments to Rule 204-2
4. Proposed Rule 204-6 P.187
5. Form ADV-C
6.Proposed Amendments to Form ADV
7. Proposed Amendments to Rule 204-3
8. Proposed Amendments to Fund Registration Forms, Rules under the
Securities Act, and Regulation S-T
F. Significant Alternatives
1. Proposed Rule 206(4)-9
2.Registration Forms, Rules under the Securities Act, and Regulation S-T
3. Proposed Rule 204-6 and Form ADV-C
1. Proposed Amendments to Form ADV and Rule 204-3
G.Solicitation of Comments
VI. CONSIDERATION OF IMPACT ON THE ECONOMY
VII. STATUTORY AUTHORITY
(以下、略す)

*****************************************************

(注1) Business Development Companies(BDC): 米国において1940年投資会社法(Investment Company Act of 1940)を根拠法として設立された中堅企業や新興企業等の事業開発を金融面及び経営面からサポートする投資会社のこと。BDCは、1980年に、中小及び新興企業への資金供給等を促す目的で誕生したもので、形態はクローズド・エンド型のファンドであり、ニューヨーク証券取引所やナスダック証券取引所に上場している。

(注2) SECの投資管理部門の開示レビューおよび会計監督部(Division of Investment Management’s Disclosure Review and Accounting Office :DRAO)は、投資信託、為替取引ファンド(ETF)、クローズドエンドファンド、変動保険商品、投資信託、および同様のオープン型投資ファンド(注3)に関する目論見書・設立趣意書 (prospectuses)、委任状説明書(proxy statements)、株主報告書(shareholder reports)などの提出書類の見直しを担当している。何百万人ものアメリカ人がこれらの資金を使って、退職金、子供の教育、その他の重要な財政目標に投資しており、SECは、これらの投資家が情報に基づいた投資決定を行うために必要な情報を確実に得られるように取り組んでいる。(https://www.sec.gov/investment/fund-disclosure-at-a-glance から一部抜粋、仮訳)

(注3) mutual fund: 個人から集めた資金を特定の専門家(ファンドマネージャー)に管理・運営を委ね、有価証券などに投資し、その収益を出資額に応じて分配する金融商品。わが国では1951年証券投資信託法に基づいて誕生した。

 投資対象は株式・公社債等の有価証券で、投資家から集められた資金で作られた信託財産の運用は専業の投資信託委託会社が行い、管理・処分は信託会社が、販売や換金は証券会社や登録金融機関(証券業務の登録を受けた金融機関)が行う。

 運用対象が公社債のみか株式を含むかによって公社債投資信託と株式投資信託に大別され、前者は安全性を後者は収益性をめざしている。投資信託には外貨建てのものもみられるが、これには為替変動リスクがある。(https://www.shiruporuto.jp/public/document/container/yogo/t/toshi_shintaku.html )から引用。

(注4) プライシング・サービスとは、企業の取締役会によって指定された企業がS&PのJ.J  ケニー( J.J. Kenny Co., Inc)およびムーディーズ(Moody's Investors Service, Inc.、Moody's Analytics, Inc. ならびに(又は)これらの者のライセンサー及び関連会社をいう)から書面による保証を得て、そのような指定がS&Pおよびムーディーズによって平均市場価格( AMPS)に割り当てられた格付けを損なうことはないことを条件とするもの。

(注5) 構造化データとは、項目の形式や順序など、明確に定義された構造に従って記述、配置されたデータ集合のこと。プログラムによって自動処理するために用いられることが多い。(IT用語辞典(https://e-words.jp/w/%E6%A7%8B%E9%80%A0%E5%8C%96%E3%83%87%E3%83%BC%E3%82%BF.html)から抜粋)

***************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...