インターネットの急速な発展により便利な世の中になりました。同時に、ネットを悪用した企業へのサイバー攻撃も増え、手口も巧妙になっています。
2015年には、日本年金機構が標的型攻撃メールにより125万人分の個人情報を流出する被害に遭いました。このときは「まさか日本年金機構が情報漏えいなんて・・・」と多くの方は思ったことでしょう。
2017年3月23日に警視庁が公開した広報資料「平成28年中におけるサイバー空間をめぐる脅威の情勢等について」では、2016年の標的型攻撃メールの件数は4,046件となっています。2013年の492件に対し、たった3年で約8倍も増えています。
さらにマイナンバー制度が2016年1月から導入され、すべての企業や団体は従業員の個人情報がつまったマイナンバー管理が義務化されました。マイナンバーはこれまでの個人情報と比較して紐ついている情報が広範囲にわたるため、より不正に使用されるリスクが高くなっています。
企業の情報漏えいリスクは、マイナンバー漏えい時に法律で罰せられることも考慮して、その対応を万全にする必要があります。
そんな中、経済産業省の「サイバーセキュリティ経営ガイドライン」ではリスク移転策として、「サイバー保険の活用」が示されています。
サイバー保険(情報セキュリティ保険)とは?
企業のサイバーセキュリティ被害を総合的に補償する損害保険です。もし企業がサイバー攻撃を受けてしまい、情報流出したときの備えとして役立ちます。
サイバー保険のメリット
1. 事故が起きたとき、保険金が支払われる
2. 被害を最小限に食いとめるための効果的な初期対応コンサルティングサービスを受けられる
- 損害賠償金
- 争訴・訴訟費用
- 原因調査費用
- 見舞金(金券)購入費用
- お詫び状作成・郵送費用
- 謝罪広告費用
- コールセンター費用
- データ復元費用
- コンサルティング費用
- フォレンジック費用
- 喪失利益
- 営業継続費用
- サイバーセキュリティ被害以外によって起きたネットワークの停止や、第三者に提供するソフトウェアなどの欠陥による損害
お金の補償以外にも、対応のサポートをしてもらえるメリットがあります。サイバー事故が起きたとき、企業は混乱してしまいます。どこへ対策や調査をお願いするか? 探す必要もある中、一刻も早く原因究明をして情報流出を止めなければなりません。
そこで、保険会社が迅速な対応の手助けをしてくれます。過去のケースから得たスキルを活用し、適切なアドバイスをもらえるでしょう。
原因究明、被害拡大防止措置、緊急時の広報対応、コールセンターの設置や運営など、事故対応に関する様々なことのサポートをしてもらえます。
保険料や細かいサービス内容は保険会社によって異なるので、ウェブサイトや資料取り寄せなどで確認してみてください。
補償されないものもある
補償金が出ないケース
- 天災や労働争議が原因で個人情報が流出した場合
- 海外サーバーに保存されている個人情報が漏えいした場合
これらの場合は、補償の対象外であることがあります。こちらも保険会社により異なるので、事前にチェックしてから検討してください。
ブランドイメージは守れない
サイバー攻撃による損失は、範囲や種類が広いため、お金では補償しきれない部分もあります。
アメリカで実際に起きたケース
アメリカの小売店「Target」で2013年に7000万件の顧客情報が流出したが、複数のサイバー保険に入っていたため約1億ドルもの補償金をもらったとされていた。
だが・・・事件後に利益が46%下がり、その損失は約4億ドルにもなってしまった。
このように、「企業のイメージ低下による顧客離れ」までは、保険で補償することはできません。
こんな会社におすすめ
- 扱う個人情報が多い
- 万が一サイバー攻撃を受けたときの、多額のコストに不安がある
- 本社には情報セキュリティ対策を十分行っているが、海外の子会社は現地任せになっている場合
- 海外展開しているが、トラブルが起きたとき、現地法令に対応できる人材がいない場合
まずセキュリティ対策をしっかり。その上で加入を検討
マイナンバーには、年金や保険など様々な個人情報がつまっているので、企業がサイバー攻撃を受ける危険は高まっています。
まだ起きていないリスクについて、コストをかける意味があるのか?
サイバー保険への考え方は、まだかかっていない病気やケガに備える医療保険の考え方と同じ部分があります。ガン保険に入っているからといって不健康な生活をしてはいけないように、サイバー保険に入っているからセキュリティ対策を油断してはいけません。
どれだけセキュリティ対策をしても、攻撃を100%防ぐことはできません。セキュリティのリスクを軽くすることはできても、回避はできないのです。
サイバー攻撃が増える現代では、攻撃を防ぐ対策をしっかりすることはもちろん、もし攻撃されたときのことも考えておかなければならない状況になってきています。
「実際に攻撃されて損害がでることを考えると、かかる保険料は安い」と考える方もいます。
サイバー保険の普及はこれから
サイバー攻撃へのセキュリティ対策には多くの企業が力を入れはじめていますが、サイバー保険についてはまだあまり知られていません。2012年に発売されたAIUのサイバー保険「CyberEdge」は、まだまだ販売数が多いとはいえないようです。
「CyberEdge」は世界35カ国で発売されている商品です。アメリカではサイバー保険市場が拡大していて、アメリカ企業が払った保険料の総額が約1023億円にもなっています。
しかし、日本ではサイバー攻撃への保険があることを知っている人はまだ少ないのが現状です。
「サイバー保険があることを知らなかった」など、実際に被害を受けてからサイバー保険の存在を知り、補償金がもらえたかもしれないと感じるケースも起きています。
こんなサイバー保険があります
CyberEdge(サイバーエッジ)
<会社>
AIG損害保険株式会社
<URL>
https://www.aig.co.jp/sonpo/business/product/cyberedge
<特長>
- サイバー攻撃を受けた場合に、被害状況などを調査するためのフォレンジックサービス費用を補償
- 事故発生時には、AIGのグローバルなネットワークを活用し、各国の危機管理コンサルティング機関をご紹介
- 情報漏洩リスクにつき、クラスアクション(集団訴訟)の損害賠償責任リスクなど全世界を補償対象地域として補償を提供可能
- コンピュータシステムに対する不正アクセス、ウィルス感染などによる第三者に対する損害賠償責任(情報セキュリティ賠償責任)を補償
- サイバー攻撃等のセキュリティ事故によってコンピュータネットワークが中断した場合の逸失利益について補償(オプション契約)
サイバー保険・サイバーLite
<会社>
損保ジャパン日本興亜
<URL>
http://www.sjnk.co.jp/hinsurance/cyber/risk/
<特長>
- 第三者への賠償責任に関する補償
- 事故時・事故後の対策等に必要な費用の補償
- 利益損害に対する補償
- 営業継続のために必要な費用の補償
サイバーリスク保険
<会社>
東京海上日動
<URL>
http://www.tokiomarine-nichido.co.jp/hojin/baiseki/cyber/
<特長>
- 包括的な補償
- 不正アクセス等の”おそれ”の調査費用も補償
- 海外提起の損害賠償請求訴訟も補償
- 利益損害・営業継続費用も補償(オプション)
- 保険以外のサービスのご提供
情報漏えいプロテクター
<会社>
三井住友海上
<URL>
http://www.ms-ins.com/business/indemnity/pd-protector/
<特長>
- 予防策を講じにくい内部犯罪をはじめ、幅広い漏えい事故(おそれを含みます)をカバー
- 電子データベース(サーバ、ファイル等)だけでなく、紙データ類(紙のリスト、申込書、アンケート用紙等)の情報漏えいも補償対象
- 個人情報のみならず、企業秘密となっている生産方法等、公然と知られていない特定の事業者に関する情報の漏えいまたはそのおそれも対象
- 個人情報漏えいまたはそのおそれの場合には、損害賠償責任の有無にかかわらず支出した見舞金などの費用を補償(事業者に関する情報の場合を除)
Cyber Pro
<会社>
Chubb 損害保険株式会社
<URL>
https://www2.chubb.com/jp-jp/businesses/cyber-pro.aspx
<特長>
- 情報漏洩時の初期対応や損害賠償請求に対する補償リスクのみならず、個人情報の取得方法や第三社提供に過誤があった場合の損害賠償請求も補償
- 自社ネットワークに侵入したウィルスを第三者に拡散してしまうなど、サイバー攻撃を受けた結果として提起される損害賠償請求リスクを補償
- 自社ウェブサイトが改ざんされてしまう、データが破壊されてしまうなどの攻撃を受けた際、データを復元させるために要する費用を補償
- 企業のIoTへの依存度が高まる中、サイバー攻撃などで事業が中断した場合の逸失利益などを補償
- オプションとして自社ウェブサイト上のコンテンツが著作権、商標権等の知的財産権を侵害しているとして提起される損害賠償請求リスクも補償対象
