hklaw.comが2026年5月7日(現地時間)付けで報じた。米国証券取引委員会 (SEC) によるレギュレーション S-Pの2024年改正における「smaller entities」(中小規模金融機関)に対する順守期限が2026年6月3日に迫っている。この改正は、顧客データの取り扱いと保護に関する新たな義務を導入するもので、ブローカーディーラー、登録投資顧問業者、一部譲渡代理人などが対象となる。SECは、今年後半の検査で本規則への順守を優先すると明言しており、対象となる金融機関には速やかな対応が求められている。
レギュレーション S-Pは、特定の金融機関が消費者金融データをどのように取り扱い、保護するかを規定する。2000年に初めて採択され、グラム・リーチ・ブライリー法 (Gramm-Leach Bliley Act) のプライバシーおよびセキュリティ要件を実施するために導入されたものだ。
この規則は、ブローカーディーラー、ファンディングポータル、登録投資会社、SEC登録投資顧問業者 (RIA)、および改正により一部の譲渡代理人(総称してCovered Institutions)に適用される。「Larger Entities」(大規模金融機関)は2025年12月3日から順守が義務付けられており、その他のすべてのCovered Institutions(中小規模金融機関)は2026年6月3日からの順守が必要となる。
レギュレーション S-Pの改正では、インシデント対応、情報漏えい通知、およびサービスプロバイダーの監督に関して、いくつかの新たな義務が導入された。Covered Institutionsは、顧客データへの不正アクセスに関連するインシデントを検知、対応、回復するための書面によるポリシーと手順を確立することが求められる。また、sensitive customer informationの漏えいが発生した、またはその可能性が高い場合、合理的に可能な限り速やかに、かつ30日以内に影響を受けた顧客に通知することが義務付けられる。
さらに、顧客データを扱う第三者である「サービスプロバイダー」に対する監督も強化される。Covered Institutionsは、サービスプロバイダーが顧客情報への不正アクセスまたは使用を防止するための適切な措置を講じ、セキュリティ侵害を認識後72時間以内にCovered Institutionsに通知することを義務付ける、書面によるポリシーを採択する必要がある。SECは、この要件の順守を、サービスプロバイダーからの契約上の表明、独立した認証、またはその他の合理的な保証を通じて満たすことができると示唆している。
今回の改正は、定義の変更により、これまで自らの「顧客」を持たないため規則の対象外であったプライベートファンドのみを助言するRIAにも、レギュレーション S-Pの適用範囲を拡大する。新たなcustomer informationの定義の下では、RIAが助言するプライベートファンドの限定パートナーなど、他の金融機関の顧客に属する非公開個人情報も対象となる。
Covered Institutionsは、書面によるポリシーと手順、インシデント調査および漏えい判断の記録、サービスプロバイダーとの監督契約、影響を受けた個人への通知の写しなど、新たな要件への順守を文書化する記録を保持する必要がある。また、年次プライバシー通知要件に例外が明文化され、プライバシーポリシーに変更がなく、特定の例外を除いて非関連会社と非公開の個人情報を共有しないCovered Institutionsは、年次通知を省略できるようになった。