編集の要約なし
>チー二ョ 編集の要約なし |
>チー二ョ 編集の要約なし |
||
1行目: | 1行目: | ||
'''サイバー保険の概要と加入に際しての検討事項'''(-ほけんのがいようとかにゅうにさいしてのけんとうじこう)とは、[[八雲法律事務所]]に所属する[[山岡裕明(弁護士)|山岡裕明]]と[[千葉哲也]]と[[町田力]]が雑誌「旬刊経理情報2022年6月10日号」に寄稿したコラムである。 | '''サイバー保険の概要と加入に際しての検討事項'''(-ほけんのがいようとかにゅうにさいしてのけんとうじこう)とは、[[八雲法律事務所]]に所属する[[山岡裕明(弁護士)|山岡裕明]]と[[千葉哲也]]と[[町田力]]が雑誌「旬刊経理情報2022年6月10日号」に寄稿したコラムである。 | ||
== 概要 == | == 概要 == | ||
正式名称は「信用確保の『投資』となり得る サイバー保険の概要と加入に際しての検討事項」である<ref>{{Archive|https://www.ykm-law.jp/member/machida.html|https://archive.ph/CY4bi|八雲法律事務所の表記}}に倣って省略しました</ref>。 | |||
<br> | <br> | ||
2021年に入り、山岡はサイバー保険を展開している保険会社と合同でセミナーを開催する機会が増加しており、本稿はその営業も兼ねての寄稿と推測される。 | 2021年に入り、山岡はサイバー保険を展開している保険会社と合同でセミナーを開催する機会が増加しており、本稿はその営業も兼ねての寄稿と推測される。 | ||
13行目: | 13行目: | ||
*サイバー保険に加入した場合の付帯サービスとして、専門業者の紹介サービスや、サイバー保険にセキュリティプロダクトを一体化したパッケージ商品を提供する保険会社も存在しており、こうした要素もサイバー保険選択のポイントとなり得る。 | *サイバー保険に加入した場合の付帯サービスとして、専門業者の紹介サービスや、サイバー保険にセキュリティプロダクトを一体化したパッケージ商品を提供する保険会社も存在しており、こうした要素もサイバー保険選択のポイントとなり得る。 | ||
=== はじめに === | === はじめに === | ||
サイバー保険とは、サイバー攻撃を受けた場合に発生する損害を補償する保険である。サイバー攻撃の増加<ref group="注"><!--1-->サイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(株)によると、2021年における日本国内のサイバー攻撃は、2020年に比べて85%増加している({{Archive|https://news.mynavi.jp/techplus/article/20220513-2343471/|https://archive.ph/as5WZ|httpps://news.mynavi.jp/techplus/article/20220513-2343471/}})また、警察庁の2022年4月7日付け「令和3年におけるサイバー空間をめぐる驚異の情勢等について」({{Archive|https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf|https://web.archive.org/save/https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf|https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pd}})によると、2021年中野サイバー犯罪の検挙件数は12,209件と過去最多を記録している。</ref>により、企業のサイバーセキュリティ対策は急務であるところ、サイバー保険への加入は、経済産業省からも企業が実施を検討すべきサイバーセキュリティ対策の1つとして推奨されている<ref group="注"><!--2-->経済産業省・独立行政法人情報処理推進機構「サイバーセキュリティ経営ガイドラインVer2.0」</ref>。 | |||
<br> | <br> | ||
本稿では、まずサイバー保険の概要について紹介したうえで、サイバー保険への加入を検討する際のポイントとして、想定事例を用いてサイバー保険で補償される内容、およびサイバー保険を加入した場合の付帯サービスや付随効果を紹介する。 | 本稿では、まずサイバー保険の概要について紹介したうえで、サイバー保険への加入を検討する際のポイントとして、想定事例を用いてサイバー保険で補償される内容、およびサイバー保険を加入した場合の付帯サービスや付随効果を紹介する。 | ||
30行目: | 30行目: | ||
たとえば、事故原因や被害範囲の調査のために実施したフォレンジック調査の費用のほか、サイバー攻撃を受けて使用不能となったデータやコンピュータシステムの復旧費用、個人情報の漏えい等が発生した場合において被害者からの問い合わせを受け付けるコールセンターの設置費用、被害者に対する見舞金・見舞品の購入費用、個人情報保護委員会に対する報告その他の法律問題のために相談した弁護士費用、今後同様の被害に遭わないための再発防止策の策定および実行に係る費用の補償がこれに該当する。 | たとえば、事故原因や被害範囲の調査のために実施したフォレンジック調査の費用のほか、サイバー攻撃を受けて使用不能となったデータやコンピュータシステムの復旧費用、個人情報の漏えい等が発生した場合において被害者からの問い合わせを受け付けるコールセンターの設置費用、被害者に対する見舞金・見舞品の購入費用、個人情報保護委員会に対する報告その他の法律問題のために相談した弁護士費用、今後同様の被害に遭わないための再発防止策の策定および実行に係る費用の補償がこれに該当する。 | ||
<br> | <br> | ||
交通事故や火災事故の場合には、その事故原因や被害範囲の調査は原則として警察や消防が実施する。他方、サイバー事故においては、攻撃に海外のIPアドレスが使用されている場合など事実上捜査が困難なケースが多く、また後述する個人情報保護法上の報告義務の観点から速やかに調査・好評をする必要がある。そのため、サイバー攻撃を受けた企業においては、自社で専門事業者に依頼し、事故原因や被害範囲の調査を実施することが必要となる<ref group="注"><!--3-->改正個人情報保護法の施行により、サイバー攻撃が原因で個人データの漏えいが発生した場合には、例外なく個人情報保護委員会に対し、漏えいが発生した個人データの項目や本人の数、発生原因等の報告が義務づけられたことから(個人情報保護法26①、同法施行規則7三・8)、事故原因および被害範囲の調査を行う必要性はさらに増したといえる</ref>。かかる必要性から、サイバー事故の調査費用等について保証される点にサイバー保険の特徴がある<ref group="注"><!--4-->なお、費用損害補償については、事故の種類によって、所定の公表要件を満たす等事故の発生が客観的に明らかになることが必要とされることもある。 | |||
</ref>。 | |||
===== ③利益損害の補償 ===== | ===== ③利益損害の補償 ===== | ||
利益損害の補償とは、事故がなければ被保険者が得ていたであろう利益(逸失利益)を保証するものである。たとえば、サイバー攻撃を受けて工場制御システムが停止した場合に、そのシステムの停止がなければ得られたはずの営業利益の保証がこれに該当する。 | 利益損害の補償とは、事故がなければ被保険者が得ていたであろう利益(逸失利益)を保証するものである。たとえば、サイバー攻撃を受けて工場制御システムが停止した場合に、そのシステムの停止がなければ得られたはずの営業利益の保証がこれに該当する。 | ||
46行目: | 47行目: | ||
さらに、同日に個人情報の漏えいが明らかとなった場合、個人情報が漏えいした個人から慰謝料請求を受ける可能性があり、仮にその総額が500万円(1件10,000円×500名)とした場合、これは損害賠償保障として保険金の支払い対象となり得る。 | さらに、同日に個人情報の漏えいが明らかとなった場合、個人情報が漏えいした個人から慰謝料請求を受ける可能性があり、仮にその総額が500万円(1件10,000円×500名)とした場合、これは損害賠償保障として保険金の支払い対象となり得る。 | ||
<br> | <br> | ||
続いて6月1日にカルテシステムを再構築して、医療サービスを再開するが、それまでの間、医療サービスの停止に伴う逸失利益が生じている。その総額を仮に2, | 続いて6月1日にカルテシステムを再構築して、医療サービスを再開するが、それまでの間、医療サービスの停止に伴う逸失利益が生じている。その総額を仮に2,000万円とした場合、これは利益損害補償として保険金の支払い対象となり得る<ref group="注"><!--5-->利益損害補償については、オプションで特約を追加した場合に補償されることになる</ref>。 | ||
。 | |||
<br> | <br> | ||
最後に、7月30日に再発防止策の策定を完了する。この場合、セキュリティ製品の導入費用が2, | 最後に、7月30日に再発防止策の策定を完了する。この場合、セキュリティ製品の導入費用が2,000万円掛かると仮定した場合に、これは費用損害補償として保険金の支払対象となり得る<ref group="注"><!--6-->加入するプランによっては、再発防止費用が補償対象とならない契約もある。また、再発防止費用については、損害額の一定割合(たとえば90%)を補償対象にする保険会社が多くみられる</ref>。 | ||
<br> | <br> | ||
なお、前期の金額はあくまで想定事例上のものではあるが、警察庁が2021年にランサムウェの被害を受けた企業・団体等を対象に実施したアンケート調査の結果では、ランサムウェアの多様さ・復旧に要した費用総額について、1,000万円以上の費用を要したとの回答が全体の43%を占めており(図表3)、調査・復旧費用としてかなりの費用が必要となることがわかる。 | なお、前期の金額はあくまで想定事例上のものではあるが、警察庁が2021年にランサムウェの被害を受けた企業・団体等を対象に実施したアンケート調査の結果では、ランサムウェアの多様さ・復旧に要した費用総額について、1,000万円以上の費用を要したとの回答が全体の43%を占めており(図表3)、調査・復旧費用としてかなりの費用が必要となることがわかる。 | ||
59行目: | 61行目: | ||
たとえば、サイバー攻撃の原因や被害範囲について調査をする必要があるところ、第三者機関であるセキュリティベンダーにフォレンジック調査を依頼することになる。 | たとえば、サイバー攻撃の原因や被害範囲について調査をする必要があるところ、第三者機関であるセキュリティベンダーにフォレンジック調査を依頼することになる。 | ||
<br> | <br> | ||
また、2022年4月1日施行の改正個人情報保護法のもとでは、サイバー攻撃が原因で個人データの漏えいが発生し、または発生したおそれがある場合<ref group="注"><!--7-->その他にも、病歴等のよう配慮個人情報が含まれるイオ人データの漏えいが発生した場合、個人データに係る本人の数が1,000人を超える漏えいが発生した場合等は、個人情報保護委員会への報告が義務付けられている(個人情報保護法26①、同法施行規則7一、四)。</ref>には、件数の多寡にかかわらず個人情報保護委員会への報告義務があることに加え(個人情報保護法26①、同法施行規則7三)、情報漏えい時には個人情報が漏えいした個人や機密保持義務違反を主張する取引先との間での法的紛争に対応する必要があるため、それらの対応を弁護士に依頼することになる。 | |||
<br> | <br> | ||
さらに、サイバー攻撃を受けた事実を公表する場合には、情報が漏えいした被害者等の利害関係者から大量の問い合わせが寄せられるので、それに対応するためのコールセンターを設置することもある。 | さらに、サイバー攻撃を受けた事実を公表する場合には、情報が漏えいした被害者等の利害関係者から大量の問い合わせが寄せられるので、それに対応するためのコールセンターを設置することもある。 | ||
<br> | <br> | ||
サイバー保険においては、前記「サイバー保険の概要」で紹介した金銭的な損失の補償だけでなく、サイバー攻撃を受けた企業を総合的にサポートすべく、セキュリティベンダー、弁護士、コールセンターと言った専門事業者を紹介するサービスを提供する保険も存在する<ref group="注"><!--8-->たとえば、三井住友海上火災保険㈱のサイバープロテクターにおいては、サイバー保険の加入企業は「専門事業者紹介サービス」を受けることができれている({{Archive|https://www.cyber-protector.com/professionalintroduction/|https://archive.ph/98TRB|https://www.cyber-protector.com/professionalintroduction/}})</ref>。 | |||
<br> | <br> | ||
サイバー攻撃の事後対応であるインシデントレスポンスの現場においては、混乱を極めていることが多く、また、有事になって急に専門家を探しても適切な専門家を確保することは容易ではない。こうした有事の状況下において、各保険会社が提携している外部の専門家の紹介を受けることができるのは、サイバー保険の大きな副次的効果といえる。 | サイバー攻撃の事後対応であるインシデントレスポンスの現場においては、混乱を極めていることが多く、また、有事になって急に専門家を探しても適切な専門家を確保することは容易ではない。こうした有事の状況下において、各保険会社が提携している外部の専門家の紹介を受けることができるのは、サイバー保険の大きな副次的効果といえる。 | ||
71行目: | 73行目: | ||
昨今では、事故が起きた後の補償であるサイバー保険の提案とあわせて、事故を未然に防ぐためのセキュリティサービスの提案も行われている。 | 昨今では、事故が起きた後の補償であるサイバー保険の提案とあわせて、事故を未然に防ぐためのセキュリティサービスの提案も行われている。 | ||
<br> | <br> | ||
わかりやすい一例として、サイバー保険に加えてセキュリティプロダクトであるEDR<ref group="注"><!--9-->EDRとは、Endpoint Defection and responseの略で、PCやサーバーといったエンドポイントで不正な振る舞いを検知し、感染後の迅速な対応を支援するセキュリティソリューションを指す。</ref>がセットとして販売されている例がある<ref group="注"><!--10-->たとえば、三井住友海上火災保険㈱の「見守るサイバー保険」では、従来のサイバー保険とEDRがセットとして提供されていることが確認できる({{Archive|https://www.ms-ins.com/business/indemnity/pd-protector/option.html|https://archive.ph/DJOWl|https://www.ms-ins.com/business/indemnity/pd-protector/option.html}})</ref>。これは、ランサムウェアなどのマルウェアによる攻撃を受けた場合に、EDRが早期に検知して被害端末を隔離してくれるため、そもそもサイバー攻撃による被害が発生・拡大するリスクを低減させることができることに加え、仮に被害が発生してもサイバー保険が損害を補償してくれるという内容である。 | |||
<br> | <br> | ||
リスクマネジメントの観点からは、アンチウィルスソフトやEDRといった技術的なセキュリティプロダクトの導入はリスクの低減にあたるのに対して、サイバー保険の加入はリスクの転嫁にあたる。そうすると、サイバー保険にセキュリティプロダクトを加えたこれらの商品は、サイバーリスクの転嫁および提言の両方の効果を有するため、サイバーリスクのマネジメント上有用な商品といえる<ref group="注"><!--11-->その他にも、あいおいニッセイ同和損害保険㈱は、同社のサイバー保険の提案とあわせて、協業するセキュリティベンダーが提供するセキュリティサービスの紹介も同時に行っている。サービスラインナップを見る限り、①ルール作り・従業員教育、②端末対策、③出入口対策、④ウェブサイト対策といったセキュリティサービスの紹介が確認できる{{Archive|https://www.aioinissaydowa.co.jp/corporate/about/news/pdf/2021/news_2021072900885.pdf/2021/news_2021072900885.pdf|https://web.archive.org/web/20220729095545/https://www.aioinissaydowa.co.jp/corporate/about/news/pdf/2021/news_2021072900885.pdf|https://www.aioinissaydowa.co.jp/corporate/about/news/pdf/2021/news_2021072900885.pdf/2021/news_2021072900885.pdf}}</ref>。 | |||
<br> | <br> | ||
また、セキュリティプロダクトがインシデントのアラートやログの保存機能を備えている場合には、そのアラートやログに基づいて速やかに保険金の支払いを受けることができるなど、サイバー保険と連動している点や、セキュリティサービスの導入の結果、セキュリティ対策が強化されることで、サイバー保険の保険料割引が適用できる点でもパッケージ商品の導入にはメリットがある。 | また、セキュリティプロダクトがインシデントのアラートやログの保存機能を備えている場合には、そのアラートやログに基づいて速やかに保険金の支払いを受けることができるなど、サイバー保険と連動している点や、セキュリティサービスの導入の結果、セキュリティ対策が強化されることで、サイバー保険の保険料割引が適用できる点でもパッケージ商品の導入にはメリットがある。 | ||
79行目: | 81行目: | ||
サイバーリスクは、技術的な要素が強いため具体的なイメージを持ちづらく、また多種多様なセキュリティプロダクトが市場に溢れているため、サイバーセキュリティ対策の必要性を感じても何から始めてよいかわからないという企業も少なくない。こうした企業にとって、サイバー保険とセキュリティプロダクトとのセット商品の導入は、サイバーセキュリティ対策の第一歩として取り組みやすいものといえる。 | サイバーリスクは、技術的な要素が強いため具体的なイメージを持ちづらく、また多種多様なセキュリティプロダクトが市場に溢れているため、サイバーセキュリティ対策の必要性を感じても何から始めてよいかわからないという企業も少なくない。こうした企業にとって、サイバー保険とセキュリティプロダクトとのセット商品の導入は、サイバーセキュリティ対策の第一歩として取り組みやすいものといえる。 | ||
==== (3)信用を獲得するための「投資」の側面 ==== | ==== (3)信用を獲得するための「投資」の側面 ==== | ||
サイバーセキュリティにおいては、自社のセキュリティ体制を構築するだけでももはや十分とはいえなくなっている。たとえば、サプライチェーン攻撃<ref group="注"><!--12-->サプライチェーン攻撃とは、ターゲットとする企業に対して直接サイバー攻撃を行うのではなく、比較的セキュリティ対策が弱い関連会社を攻撃し、それを足がかりにターゲット企業への侵入・攻撃を行う手法である。</ref>では取引先が基点となって自社にサイバー攻撃が及ぶことがある。また2022年2月から3月に掛けて急増したEmotet攻撃においては、取引先がEmotetに感染した結果、当該取引先になりすましたEmotet付きメールが拡散されるという特徴があった。 | |||
<br> | <br> | ||
こうした観点から、自社のみならず取引先を含めたサイバーセキュリティ体制構築の必要性が高まっており、契約取引交渉において取引先のサイバーセキュリティレベルを確認することが実務上増えている印象である。 | こうした観点から、自社のみならず取引先を含めたサイバーセキュリティ体制構築の必要性が高まっており、契約取引交渉において取引先のサイバーセキュリティレベルを確認することが実務上増えている印象である。 | ||
87行目: | 89行目: | ||
そうすると、サイバー保険の加入に伴う保険料について、従前は「費用」としての側面が強かったとしても、昨今では既存の契約を維持したり新規規約を獲得するにあたっての信用を高める「投資」としての側面も強まってきたといえる。 | そうすると、サイバー保険の加入に伴う保険料について、従前は「費用」としての側面が強かったとしても、昨今では既存の契約を維持したり新規規約を獲得するにあたっての信用を高める「投資」としての側面も強まってきたといえる。 | ||
=== おわりに === | === おわりに === | ||
世界的なサイバーセキュリティ企業であるVade Secureが、2022年2月から4月までののマルウェアの見地状況を調査した結果、日本企業は、企業規模や業種にかかわらずEmotetが検出されたことが明らかとなった<ref group="注"><!--13-->{{Archive|https://prtimes.jp/main/html/rd/p/0000000024.000061783.html|https://archive.ph/5NmV2|https://prtimes.jp/main/html/rd/p/0000000024.000061783.html}}</ref>。このように企業規模や業種に関係なくサイバー攻撃のターゲットになり得ることから、サイバー保険の加入も、あらゆる企業において検討が必要といえる。 | |||
<br> | <br> | ||
そして、これまで紹介してきたとおり、サイバー保険への加入を検討するにあたっては、自社にとって必要な補償ない湯を確認することがポイントとなり、また付帯サービス等の要素もサイバー保険選択のポイントとなり得る。 | そして、これまで紹介してきたとおり、サイバー保険への加入を検討するにあたっては、自社にとって必要な補償ない湯を確認することがポイントとなり、また付帯サービス等の要素もサイバー保険選択のポイントとなり得る。 | ||
93行目: | 95行目: | ||
前述の日本損害保険協会が実施したアンケート調査によると、企業がサイバー保険に加入しない理由として最も多かったのは、「保険の補償内容や保険料についてよく知らないため」という回答であったが、本稿がサイバー保険への加入を検討する一助となれば幸いである。 | 前述の日本損害保険協会が実施したアンケート調査によると、企業がサイバー保険に加入しない理由として最も多かったのは、「保険の補償内容や保険料についてよく知らないため」という回答であったが、本稿がサイバー保険への加入を検討する一助となれば幸いである。 | ||
=== 注 === | === 注 === | ||
<references group="注"/> | <references group="注" /> | ||
== スキャン画像 == | == スキャン画像 == | ||
== 註釈 == | == 註釈 == |