サイバー保険への加入を考えるべき企業と検討のポイント

IT・情報セキュリティ

 セキュリティ事故の発生時に備えるためのサイバー保険はどういった企業で加入を考えるべきでしょうか。また検討のポイントについて教えてください。

 ITシステムに主たる事業の継続が依存している企業要配慮個人情報を取り扱う企業ECサイトでの個人情報の取扱い数が多い企業などは、情報漏えい時の危機対応費用や損害額も大きくなるため、加入を検討すべきかと思われます。
 ただし、サイバー保険はサイバー攻撃によるすべての被害を補償するものではないため、保険商品の内容を確認し、自社の想定するリスクに照らして検討することが重要です。

解説

目次

  1. サイバー保険の概要と加入状況
  2. サイバー保険への加入を検討すべき企業
  3. サイバー保険では解決できない課題

サイバー保険の概要と加入状況

 サイバー保険は、いわゆるサイバー攻撃に備える保険であり、具体的には下記の補償を中心とする保険です。

  1. IT資産の稼働中断による損失、および営業継続に要する費用に対する補償
  2. 情報漏えい等による危機対応費用に対する補償
  3. 被害者への損害賠償責任に対する補償
  4. 行政対応に対する補償

 わが国においては、サイバー保険への加入率は12%にとどまっていますが、従業員数1,000名以上の企業では加入が30%強を占めており、個人情報10,000件以上を保有する企業でも30%近くが加入しているとされています(一般社団法人 日本損害保険協会「サイバー保険に関する調査 2018」(2019年3月))。

 もっとも、大企業で大規模な情報漏えいが生じた場合には、損失額が数十億~数百億円になる事例も多く、一般的なサイバー保険では補償される限度額をはるかに超えた損失になるため、むしろ損害規模が限定的な中小企業において積極的にサイバー保険が利用されるべきと思われます

サイバー保険への加入を検討すべき企業

 上記のサイバー保険の特性に照らすと、以下の企業においては、サイバー保険への加入の必要性が高いと想定されます。

  1. ITシステムに主たる事業の継続が依存している企業。当該システムがサイバー攻撃等で停止した場合には、多額の逸失利益が生じることが考えられます。
  2. 要配慮個人情報(病歴や犯罪歴等)を取り扱う企業。その漏えい時には社会的な非難を浴びるおそれが高く、SNSやマスコミ対応を含めて多額の危機対応費用が生じることが見込まれます。
  3. ECサイトでの個人情報(特にクレジットカード情報)の取扱い数が多い企業。個人情報の不正取得を狙ったサイバー攻撃の標的となるリスクが高く、多数の被害者の二次的被害(クレジットカード情報の不正利用)も含めた損害賠償責任を負うことが想定されます。

 なお、米国においては、ヘルスケア、教育、金融及び小売等の業界において、サイバー保険が比較的普及しているとされておりますが(独立行政法人日本貿易振興機構(ジェトロ)「米国におけるサイバー保険の現状」(2017年12月))、いずれの業界も上記の類型に該当するものと考えられます。

サイバー保険では解決できない課題

 ランサムウェアによる身代金を請求される事例が日本でも増えてきています。ランサムウェアとは、企業のPCやサーバー内のデータ、システムを暗号化してアクセスできなくするマルウェアで、ランサムウェアを仕掛けたハッカーからその暗号化を解除する条件として身代金を要求されるというものです

ランサムウェアによる被害イメージ

 ハッカーに対して要求通りに多額の身代金を支払っても暗号化を解除してもらえない事例もあるなど、そもそも安易に身代金を支払うべきではありませんが、仮に身代金を支払ったとしても一般的なサイバー保険では補償対象外となるため、注意が必要です

 また、クレジットカード情報の漏えい対策として、クレジットカード決済を利用するECサイトの運営事業者の多くは、決済代行会社を利用してクレジットカード情報そのものをECサイトで取得しない形態にしているかと思います。他方で、ECサイト自体の脆弱性を突かれてサイトを改ざんされ、偽のカード決済ページに転送された利用者がクレジットカード情報を入力して不正取得される事例が増えてきています

 この場合、被害を受けたECサイトは、クレジットカード会社から特定され、自費で専門業者に委託して漏えいの原因調査を実施するように求められ、さらにクレジットカードの不正利用分の損害賠償請求を受けることが考えられます。また、不正取得されたクレジットカード情報は運営事業者が自己のECサイトで保有する情報ではないため、情報漏えい事案に対応したサイバー保険でも補償対象外となることもあり、留意が必要です。特に、中小企業が自社で構えるECサイトにはあまり収益が上がっていないものもあり、セキュリティの更新が適切にされていないケースがあることから攻撃者に狙われがちなので、注意すべきでしょう。

 このように、サイバー保険もサイバー攻撃によるすべての被害を補償するわけではないため、保険商品の内容を確認し、自社の想定するリスクに照らして検討することが重要です。また同時に、そもそも情報漏えい等のセキュリティ被害を防ぐための継続的な対策も忘れてはなりません。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する