流出に備える「サイバー保険」とは?補償されるもの・されないもの

security_2227

インターネットの急速な発展により便利な世の中になりました。同時に、ネットを悪用した企業へのサイバー攻撃も増え、手口も巧妙になっています。

2015年には、日本年金機構が標的型攻撃メールにより125万人分の個人情報を流出する被害に遭いました。このときは「まさか日本年金機構が情報漏えいなんて・・・」と多くの方は思ったことでしょう。

2017年3月23日に警視庁が公開した広報資料「平成28年中におけるサイバー空間をめぐる脅威の情勢等について」では、2016年の標的型攻撃メールの件数は4,046件となっています。2013年の492件に対し、たった3年で約8倍も増えています。

さらにマイナンバー制度が2016年1月から導入され、すべての企業や団体は従業員の個人情報がつまったマイナンバー管理が義務化されました。マイナンバーはこれまでの個人情報と比較して紐ついている情報が広範囲にわたるため、より不正に使用されるリスクが高くなっています。

企業の情報漏えいリスクは、マイナンバー漏えい時に法律で罰せられることも考慮して、その対応を万全にする必要があります。

そんな中、経済産業省の「サイバーセキュリティ経営ガイドライン」ではリスク移転策として、「サイバー保険の活用」が示されています。

サイバー保険(情報セキュリティ保険)とは?

企業のサイバーセキュリティ被害を総合的に補償する損害保険です。もし企業がサイバー攻撃を受けてしまい、情報流出したときの備えとして役立ちます。

サイバー保険のメリット

1. 事故が起きたとき、保険金が支払われる

2. 被害を最小限に食いとめるための効果的な初期対応コンサルティングサービスを受けられる

受け取れる補償金は保険会社によってちがいますが、次のようなお金が支払われます。

  • 損害賠償金
  • 争訴・訴訟費用
  • 原因調査費用
  • 見舞金(金券)購入費用
  • お詫び状作成・郵送費用
  • 謝罪広告費用
  • コールセンター費用
  • データ復元費用
  • コンサルティング費用
  • フォレンジック費用
  • 喪失利益
  • 営業継続費用
  • サイバーセキュリティ被害以外によって起きたネットワークの停止や、第三者に提供するソフトウェアなどの欠陥による損害

3. 付帯サービスによるサポート機能

お金の補償以外にも、対応のサポートをしてもらえるメリットがあります。サイバー事故が起きたとき、企業は混乱してしまいます。どこへ対策や調査をお願いするか? 探す必要もある中、一刻も早く原因究明をして情報流出を止めなければなりません。

そこで、保険会社が迅速な対応の手助けをしてくれます。過去のケースから得たスキルを活用し、適切なアドバイスをもらえるでしょう。

原因究明、被害拡大防止措置、緊急時の広報対応、コールセンターの設置や運営など、事故対応に関する様々なことのサポートをしてもらえます。

保険料や細かいサービス内容は保険会社によって異なるので、ウェブサイトや資料取り寄せなどで確認してみてください。

補償されないものもある

補償金が出ないケース

  • 天災や労働争議が原因で個人情報が流出した場合
  • 海外サーバーに保存されている個人情報が漏えいした場合

これらの場合は、補償の対象外であることがあります。こちらも保険会社により異なるので、事前にチェックしてから検討してください。

ブランドイメージは守れない

サイバー攻撃による損失は、範囲や種類が広いため、お金では補償しきれない部分もあります。

アメリカで実際に起きたケース

アメリカの小売店「Target」で2013年に7000万件の顧客情報が流出したが、複数のサイバー保険に入っていたため約1億ドルもの補償金をもらったとされていた。

だが・・・事件後に利益が46%下がり、その損失は約4億ドルにもなってしまった。

このように、「企業のイメージ低下による顧客離れ」までは、保険で補償することはできません。

こんな会社におすすめ

  • 扱う個人情報が多い
  • 万が一サイバー攻撃を受けたときの、多額のコストに不安がある
  • 本社には情報セキュリティ対策を十分行っているが、海外の子会社は現地任せになっている場合
  • 海外展開しているが、トラブルが起きたとき、現地法令に対応できる人材がいない場合

まずセキュリティ対策をしっかり。その上で加入を検討

マイナンバーには、年金や保険など様々な個人情報がつまっているので、企業がサイバー攻撃を受ける危険は高まっています。

まだ起きていないリスクについて、コストをかける意味があるのか?

サイバー保険への考え方は、まだかかっていない病気やケガに備える医療保険の考え方と同じ部分があります。ガン保険に入っているからといって不健康な生活をしてはいけないように、サイバー保険に入っているからセキュリティ対策を油断してはいけません。

どれだけセキュリティ対策をしても、攻撃を100%防ぐことはできません。セキュリティのリスクを軽くすることはできても、回避はできないのです。

サイバー攻撃が増える現代では、攻撃を防ぐ対策をしっかりすることはもちろん、もし攻撃されたときのことも考えておかなければならない状況になってきています。

「実際に攻撃されて損害がでることを考えると、かかる保険料は安い」と考える方もいます。

サイバー保険の普及はこれから

サイバー攻撃へのセキュリティ対策には多くの企業が力を入れはじめていますが、サイバー保険についてはまだあまり知られていません。2012年に発売されたAIUのサイバー保険「CyberEdge」は、まだまだ販売数が多いとはいえないようです。

「CyberEdge」は世界35カ国で発売されている商品です。アメリカではサイバー保険市場が拡大していて、アメリカ企業が払った保険料の総額が約1023億円にもなっています。

しかし、日本ではサイバー攻撃への保険があることを知っている人はまだ少ないのが現状です。

「サイバー保険があることを知らなかった」など、実際に被害を受けてからサイバー保険の存在を知り、補償金がもらえたかもしれないと感じるケースも起きています。

こんなサイバー保険があります

AIU保険

CyberEdge(サイバーエッジ)

http://www.aiu.co.jp/business/product/liability/cyberedge/index.htm

個人情報漏洩保険

http://www.aiu.co.jp/business/product/liability/kojin_joho/ippan/compensation.htm

東京海上日動

サイバーリスク保険
個人情報漏えい保険

http://www.tokiomarine-nichido.co.jp/hojin/baiseki/roei/

損保ジャパン日本興亜

サイバー保険
個人情報取扱事業者保険

http://www.sjnk.co.jp/hinsurance/risk/liability/information/

三井住友海上

情報漏えいプロテクター

http://www.ms-ins.com/business/indemnity/pd-protector/

security_2227