要約

1. 米国証券取引委員会（SEC）は2023年3月15日、米国証券市場における特定関連組織に対してサイバーセキュリティリスクに対処することを義務付ける3つの規則案を公表した。具体的には、（1）市場関連組織をサイバー脅威から保護することを目的とした「規則10」（Rule 10）の制定、（2）主要な市場インフラの強度と回復力強化を目的とした「レギュレーションSCI」の改正、（3）データのプライバシーと顧客情報の保護を目的とした「レギュレーションS-P」の改正、を通じてサイバーセキュリティ関連要件を提案している。
2. 世界的なサイバー攻撃の脅威の増大やG7、G20・金融安定理事会（FSB）等での国際的な議論も鑑みると、米国を含めて当局によるサイバーセキュリティリスクに対する規制・監督が厳格化する方向が近い将来に大きく変わることはないと想定される。
3. 日本でも金融機関に対するサイバー攻撃・犯罪が近年増加しており、2014年11月に制定されたサイバーセキュリティ基本法も受け、金融庁が金融分野におけるサイバーセキュリティ取組方針の策定等、さまざまな対応を行っている。
4. 日本の証券業界については、米国でビジネスを行っている証券会社のみならず、それ以外の証券会社あるいはインフラ運営者についても、顧客基盤や企業価値保全の観点からサイバーセキュリティ対策を強化することが喫緊の課題となろう。一方で、サイバー攻撃の複雑性や甚大な経済的インパクトを考慮すると、民間事業者が実行可能な対策や負担できるコストには限界があり、官民一体で検討を進めることが重要と言える。