その他 securitynavi

流出に備える「サイバー保険」とは?補償されるもの・されないもの

security_2227

ネット時代がどんどん加速する現代では、企業の重要なデータを狙うサイバー攻撃やサイバー犯罪はどんどん増え、手口も巧妙になっています。

最近起きた大きな情報流出事件には、日本年金機構やベネッセホールディングスの漏えい事件が記憶に新しいです。ベネッセホールディングスでは、お詫びとして200億円もの支払いをする事態になっています。さらにイメージ低下による売上ダウンなどを考えると、被害額ははかりしれません。

警視庁が把握した2015年の被害では、標的型メール攻撃は前年の6倍以上である1,472件(日本年金機構の被害含む)、不審アクセスは、1つのIPアドレスにつき1日あたり684.9件が発生、前年より52.8%も増えています。

さらにマイナンバー制度が2016年1月から導入され、すべての企業や団体は従業員の個人情報がつまったマイナンバーの管理が義務になりました。マイナンバーはこれまでの個人情報と比較して紐ついている情報が広範囲にわたるため、より不正に使用されるリスクが高くなっています。

企業の情報漏えいリスクは、マイナンバー漏えい時に法律で罰せられることも考慮して、その対応を万全にする必要があります。

例えば、サイバー攻撃による主な被害は次のようなものがあります。

  • 不正アクセスによるウェブサイトの改ざん
  • なりすましによる個人情報・法人情報の窃盗
  • 標的型メール攻撃によるマルウェア感染
  • DoS攻撃による業務妨害
そんな中、経済産業省の「サイバーセキュリティ経営ガイドライン」ではリスク移転策として、「サイバー保険の活用」が示されています。

サイバー保険(情報セキュリティ保険)とは?

企業のサイバーセキュリティ被害を総合的に補償する損害保険です。もし企業がサイバー攻撃を受けてしまい、情報流出したときの備えとして役立ちます。

サイバー保険のメリット

事故が起きたとき、保険金が支払われる
被害を最小限に食いとめるための効果的な初期対応コンサルティングサービスを受けられる

受け取れる補償金は保険会社によってちがいますが、次のようなお金が支払われます。

  • 損害賠償金
  • 争訴・訴訟費用
  • 原因調査費用
  • 見舞金(金券)購入費用
  • お詫び状作成・郵送費用
  • 謝罪広告費用
  • コールセンター費用
  • データ復元費用
  • コンサルティング費用
  • フォレンジック費用
  • 喪失利益
  • 営業継続費用
  • サイバーセキュリティ被害以外によって起きたネットワークの停止や、第三者に提供するソフトウェアなどの欠陥による損害

付帯サービスによるサポート機能

お金の補償以外にも、対応のサポートをしてもらえるメリットがあります。サイバー事故が起きたとき、企業は混乱してしまいます。どこへ対策や調査をお願いするか?探す必要もある中、一刻も早く原因究明をして情報流出を止めなければなりません。

そこで、保険会社が迅速な対応の手助けをしてくれます。過去のケースから得たスキルを活用し、適切なアドバイスをもらえるでしょう。

原因究明、被害拡大防止措置、緊急時の広報対応、コールセンターの設置や運営など、事故対応に関する様々なことのサポートをしてもらえます。

保険料や細かいサービス内容は保険会社によって異なるので、ウェブサイトや資料取り寄せなどで確認してみてください。

補償されないものもある

補償金が出ないケースもある

  • 天災や労働争議が原因で個人情報が流出した場合
  • 海外サーバーに保存されている個人情報が漏えいした場合
これらの場合は、補償の対象外であることがあります。こちらも保険会社により異なるので、事前にチェックしてから検討してください。

ブランドイメージは守れない

サイバー攻撃による損失は、範囲や種類が広いため、お金では補償しきれない部分もあります。

アメリカで実際に起きたケース

アメリカの小売店「Target」で2013年に7000万件の顧客情報が流出したが、複数のサイバー保険に入っていたため約1億ドルもの補償金をもらったとされていた。

だが・・・事件後に利益が46%下がり、その損失は約4億ドルにもなってしまった。

このように、「企業のイメージ低下による顧客離れ」までは、保険で補償することはできません。

こんな会社におすすめ

サイバー保険は、「情報漏えいしたときのリスクが高い」会社で、特に必要度が高いです。

扱う個人情報が多い
オンラインビジネスやECサイトがメインの収益になっている会社や、暗号通貨(ビットコインなど)を扱う業者などです。膨大な数の顧客の個人情報を扱う会社で情報流出が起きると、経営に大ダメージを受けるリスクがあります。

個人情報の漏洩事故が発生した場合に、具体的にとのような対応をすれば良いのかわからない。

万が一サイバー攻撃を受けたときの、多額のコストに不安がある
本社には情報セキュリティ対策を十分行っているが、海外の子会社は現地任せになっている場合
海外展開しているが、トラブルが起きたとき、現地法令に対応できる人材がいない場合

ただ、マイナンバーが導入されたことで、状況が変わりました。

マイナンバーの流出、管理不足には罰則がある

従業員が不正にマイナンバーを漏えいした場合…

企業への罰金200万円+従業員への罰則(4年以下の懲役、200万円以下の罰金)+企業のイメージダウン

このような罰則と損害を受けてしまいます。

マイナンバーは、すべての企業や団体、個人事業主に管理義務がある

今までは氏名、生年月日、住所などの個人情報は5000件以上を持つ企業のみ管理義務がありました。しかしマイナンバーが導入されたことにより、大小問わずすべての企業に情報管理の義務が発生するようになりました。

情報管理の状況は、年々変化しています。マイナンバー法ができたことで、サイバー保険への注目も集まってきています。

まずセキュリティ対策をしっかり。その上で加入を検討

マイナンバーには、年金や保険など様々な個人情報がつまっているので、企業がサイバー攻撃を受ける危険は高まっています。

まだ起きていないリスクについて、コストをかける意味があるのか?サイバー保険への考え方は、まだかかっていない病気やケガに備える医療保険の考え方と同じ部分があります。ガン保険に入っているからといって不健康な生活をしてはいけないように、サイバー保険に入っているからセキュリティ対策を油断してはいけません。

しかし、サイバー攻撃はこれからどんどん増え、高度化すると予想されます。

どれだけセキュリティ対策をしても、攻撃を100%防ぐことはできません。セキュリティのリスクを軽くすることはできても、回避はできないのです。サイバー攻撃が増える現代では、攻撃を防ぐ対策をしっかりすることはもちろん、もし攻撃されたときのことも考えておかなければならない状況になってきています。

「実際に攻撃されて損害がでることを考えると、かかる保険料は安い」と考える方もいます。

サイバー保険の普及はこれから

サイバー攻撃へのセキュリティ対策には多くの企業が力を入れていますが、サイバー保険についてはまだあまり知られていません。2012年に発売されたAIUのサイバー保険「CyberEdge」は、まだまだ販売数が多いとはいえないようです。

「CyberEdge」は世界35カ国で発売されている商品です。アメリカではサイバー保険市場が拡大していて、アメリカ企業が払った保険料の総額が約1023億円にもなっています。しかし、日本ではサイバー攻撃への保険があることを知っている人はまだ少ないのが現状です。

「サイバー保険があることを知らなかった」など、実際に被害を受けてからサイバー保険の存在を知り、補償金がもらえたかもしれないと感じるケースも起きています。

こんなサイバー保険があります

AIU保険

CyberEdge(サイバーエッジ)

http://www.aiu.co.jp/business/product/liability/cyberedge/index.htm

個人情報漏洩保険

http://www.aiu.co.jp/business/product/liability/kojin_joho/ippan/compensation.htm

東京海上日動

サイバーリスク保険
個人情報漏えい保険

http://www.tokiomarine-nichido.co.jp/hojin/baiseki/roei/

損保ジャパン日本興亜

サイバー保険
個人情報取扱事業者保険

http://www.sjnk.co.jp/hinsurance/risk/liability/information/

三井住友海上

情報漏えいプロテクター

http://www.ms-ins.com/business/indemnity/pd-protector/

security_2227

RECOMMENDこちらの記事も人気です。