サイバー保険の概要と加入に際しての検討事項
サイバー保険の概要と加入に際しての検討事項(-ほけんのがいようとかにゅうにさいしてのけんとうじこう)とは、八雲法律事務所に所属する山岡裕明と千葉哲也と町田力が雑誌「旬刊経理情報2022年6月10日号」に寄稿したコラムである。
概要
正式名称は「信用確保の『投資』となり得る サイバー保険の概要と加入に際しての検討事項」である[1]。
2021年に入り、山岡はサイバー保険を展開している保険会社と合同でセミナーを開催する機会が増加しており、本稿はその営業も兼ねての寄稿と推測される。
旬刊経理情報の投稿は約1年半前の「サイバーセキュリティリスクに備える契約上の留意点~秘密情報の開示・漏えいの取り扱い~」以来であり、前回の山岡と千葉の他に今回は町田力も共著として参加している。
このことから、町田は裁判だけではなく、サイバーインシデントについても対応していることが推測される。
本文
この記事のエッセンス
- サイバー保険の補償内容は、損害賠償の補償・費用損害の補償・利益損害の補償の3本柱から成り、サイバー保険への加入を検討するにあたっては、自社にとって必要な補償内容の確認がポイントとなる。
- サイバー保険に加入した場合の付帯サービスとして、専門業者の紹介サービスや、サイバー保険にセキュリティプロダクトを一体化したパッケージ商品を提供する保険会社も存在しており、こうした要素もサイバー保険選択のポイントとなり得る。
はじめに
サイバー保険とは、サイバー攻撃を受けた場合に発生する損害を補償する保険である。サイバー攻撃の増加[注 1]により、企業のサイバーセキュリティ対策は急務であるところ、サイバー保険への加入は、経済産業省からも企業が実施を検討すべきサイバーセキュリティ対策の1つとして推奨されている[注 2]。
本稿では、まずサイバー保険の概要について紹介したうえで、サイバー保険への加入を検討する際のポイントとして、想定事例を用いてサイバー保険で補償される内容、およびサイバー保険を加入した場合の付帯サービスや付随効果を紹介する。
サイバー保険の概要
(1)補償の概要
サイバー保険の補償内容は、加入するプランやオプションとして追加する特約により異なるものの、基本的には、損害賠償の補償・費用損害の補償・利益損害の補償の3本柱から成る。
なお、サイバー保険の補償対象となる事故は、サイバー攻撃に限られず、メール誤送信、データが記録されたUSBメモリーの紛失といったヒューマンエラーによる事故、従業員による顧客情報の不正持ち出し等についても補償対象となり得る。
①損害賠償の補償
損害賠償の補償とは、サイバー攻撃等に起因して被保険者が第三者に対して法律上負担する損害賠償金を補償するものである。たとえば、企業がサイバー攻撃を受けたことにより、自社が管理する個人情報が漏えいした場合、情報が漏えいした個人から損害賠償請求を受ける可能性がある。その場合、当該企業において個人情報の管理につき落ち度があり、それが原因で漏えいが発生したのであれば、企業はその個人に対して法律上負担することになるこれらの損害賠償金を補填するものである。
また、サイバー攻撃により企業が管理する取引先の機密情報が漏えいした場合には、当該取引先から機密保持義務違反を理由とした損害賠償請求を受ける可能性もある。損害賠償補償は、被保険者が法律上負担することになるこれらの損害賠償金を補填するものである。
②費用損害の補償
費用損害の補償とは、サイバー攻撃を受けた場合等に、被保険者が対策を講じることによって負担することとなる費用を補償するものである。
たとえば、事故原因や被害範囲の調査のために実施したフォレンジック調査の費用のほか、サイバー攻撃を受けて使用不能となったデータやコンピュータシステムの復旧費用、個人情報の漏えい等が発生した場合において被害者からの問い合わせを受け付けるコールセンターの設置費用、被害者に対する見舞金・見舞品の購入費用、個人情報保護委員会に対する報告その他の法律問題のために相談した弁護士費用、今後同様の被害に遭わないための再発防止策の策定および実行に係る費用の補償がこれに該当する。
交通事故や火災事故の場合には、その事故原因や被害範囲の調査は原則として警察や消防が実施する。他方、サイバー事故においては、攻撃に海外のIPアドレスが使用されている場合など事実上捜査が困難なケースが多く、また後述する個人情報保護法上の報告義務の観点から速やかに調査・好評をする必要がある。そのため、サイバー攻撃を受けた企業においては、自社で専門事業者に依頼し、事故原因や被害範囲の調査を実施することが必要となる[注 3]。かかる必要性から、サイバー事故の調査費用等について保証される点にサイバー保険の特徴がある[注 4]。
③利益損害の補償
利益損害の補償とは、事故がなければ被保険者が得ていたであろう利益(逸失利益)を保証するものである。たとえば、サイバー攻撃を受けて工場制御システムが停止した場合に、そのシステムの停止がなければ得られたはずの営業利益の保証がこれに該当する。
(2)サイバー保険の加入率
一般社団法人日本損害保険協会が2020年10月に実施したアンケート調査の結果によると、サイバー保険に「加入している」と回答した企業は、全体の7.8%にとどまる(図表1)。企業規模別に加入率をみると、大企業は9.8%、中小企業は6.7%であり、中小企業のほうが加入が進んでいない。
一方、全体の約2割が「現在は加入していないが、今後加入予定」と回答しており、中小企業のほうがその比率が高くなっている(大企業16.9%、中小企業20.7%)。自社のサイバー保険の加入状況について、全体の3割超(33.4%)が「わからない」と回答しているのも特徴的である。現在の加入率はこれよりも上昇していると考えられるが、まだまだ認知度は低いといえる。
想定事例を用いたサイバー保険の補償内容
次頁図表2は、医療機関がランサムウェア攻撃を受けた場合のインシデントレスポンスの一例である。医療機関X病院において、社内ネットワークに置かれたPC3台、ファイル共有サーバー1台およびカルテシステムが暗号化されたことが発覚したため、ただちにセキュリティベンダーであるフォレンジック会社に事故原因および被害範囲の調査を、弁護士に個人情報保護法に基づくインシデント対応をそれぞれ依頼した。
また、ダークウェブ上のリークサイトに、摂取された情報の一部が公開されていることが判明したため、速やかに個人情報保護委員会への報告(速報)を行うとともに、ホームページ上でサイバー攻撃を受けた事実を公表した。その後、フォレンジック調査の結果、不正アクセスの経路および漏えいしたデータの範囲が判明したことから、個人情報保護委員会への報告(確報)を行い、患者等への個別説明を行った。暗号化されたカルテシステムの復旧には1か月掛かり、その間、X病院は医療サービスを停止せざるを得なかったため、今後同様の被害に遭わないためにセキュリティ商品を購入してセキュリティ強化を図った。この事例を用いて、サイバー保険による損害賠償の補償・費用損害の補償・利益損害の補償を紹介する。
たとえば、5月1日にランサムウェア攻撃が発覚し、翌2日に外部の専門家(フォレンジック会社、弁護士)と契約を締結したとする。この場合、フォレンジック調査費用が1,000万円、弁護士費用が500万円掛かると仮定した場合に、これらは費用損害補償として保険金支払の対象となり得る。
さらに、同日に個人情報の漏えいが明らかとなった場合、個人情報が漏えいした個人から慰謝料請求を受ける可能性があり、仮にその総額が500万円(1件10,000円×500名)とした場合、これは損害賠償保障として保険金の支払い対象となり得る。
続いて6月1日にカルテシステムを再構築して、医療サービスを再開するが、それまでの間、医療サービスの停止に伴う逸失利益が生じている。その総額を仮に2,000万円とした場合、これは利益損害補償として保険金の支払い対象となり得る[注 5]。
。
最後に、7月30日に再発防止策の策定を完了する。この場合、セキュリティ製品の導入費用が2,000万円掛かると仮定した場合に、これは費用損害補償として保険金の支払対象となり得る[注 6]。
なお、前期の金額はあくまで想定事例上のものではあるが、警察庁が2021年にランサムウェの被害を受けた企業・団体等を対象に実施したアンケート調査の結果では、ランサムウェアの多様さ・復旧に要した費用総額について、1,000万円以上の費用を要したとの回答が全体の43%を占めており(図表3)、調査・復旧費用としてかなりの費用が必要となることがわかる。
今回は医療機関を例としたが、事業会社などでも同様の対応が必要になることが考えられる。
サイバー保険の付帯サービス・付随効果
(1)専門業者の紹介サービス
サイバー攻撃を受けた場合、被害企業だけで事後対応を行うことは容易ではなく、さまざまな専門家のサポートを売ることが重要となる。
たとえば、サイバー攻撃の原因や被害範囲について調査をする必要があるところ、第三者機関であるセキュリティベンダーにフォレンジック調査を依頼することになる。
また、2022年4月1日施行の改正個人情報保護法のもとでは、サイバー攻撃が原因で個人データの漏えいが発生し、または発生したおそれがある場合[注 7]には、件数の多寡にかかわらず個人情報保護委員会への報告義務があることに加え(個人情報保護法26①、同法施行規則7三)、情報漏えい時には個人情報が漏えいした個人や機密保持義務違反を主張する取引先との間での法的紛争に対応する必要があるため、それらの対応を弁護士に依頼することになる。
さらに、サイバー攻撃を受けた事実を公表する場合には、情報が漏えいした被害者等の利害関係者から大量の問い合わせが寄せられるので、それに対応するためのコールセンターを設置することもある。
サイバー保険においては、前記「サイバー保険の概要」で紹介した金銭的な損失の補償だけでなく、サイバー攻撃を受けた企業を総合的にサポートすべく、セキュリティベンダー、弁護士、コールセンターと言った専門事業者を紹介するサービスを提供する保険も存在する[注 8]。
サイバー攻撃の事後対応であるインシデントレスポンスの現場においては、混乱を極めていることが多く、また、有事になって急に専門家を探しても適切な専門家を確保することは容易ではない。こうした有事の状況下において、各保険会社が提携している外部の専門家の紹介を受けることができるのは、サイバー保険の大きな副次的効果といえる。
また、事業者がサイバー保険に加入していれば与信の問題は緩和されるため、セキュリティベンダーや弁護士等の専門家側もスピーディに動きやすく、その点でも事業者にメリットが大きいといえる。
(2)サイバー保険とセキュリティプロダクトとのパッケージ商品
昨今では、事故が起きた後の補償であるサイバー保険の提案とあわせて、事故を未然に防ぐためのセキュリティサービスの提案も行われている。
わかりやすい一例として、サイバー保険に加えてセキュリティプロダクトであるEDR[注 9]がセットとして販売されている例がある[注 10]。これは、ランサムウェアなどのマルウェアによる攻撃を受けた場合に、EDRが早期に検知して被害端末を隔離してくれるため、そもそもサイバー攻撃による被害が発生・拡大するリスクを低減させることができることに加え、仮に被害が発生してもサイバー保険が損害を補償してくれるという内容である。
リスクマネジメントの観点からは、アンチウィルスソフトやEDRといった技術的なセキュリティプロダクトの導入はリスクの低減にあたるのに対して、サイバー保険の加入はリスクの転嫁にあたる。そうすると、サイバー保険にセキュリティプロダクトを加えたこれらの商品は、サイバーリスクの転嫁および提言の両方の効果を有するため、サイバーリスクのマネジメント上有用な商品といえる[注 11]。
また、セキュリティプロダクトがインシデントのアラートやログの保存機能を備えている場合には、そのアラートやログに基づいて速やかに保険金の支払いを受けることができるなど、サイバー保険と連動している点や、セキュリティサービスの導入の結果、セキュリティ対策が強化されることで、サイバー保険の保険料割引が適用できる点でもパッケージ商品の導入にはメリットがある。
サイバーリスクは、技術的な要素が強いため具体的なイメージを持ちづらく、また多種多様なセキュリティプロダクトが市場に溢れているため、サイバーセキュリティ対策の必要性を感じても何から始めてよいかわからないという企業も少なくない。こうした企業にとって、サイバー保険とセキュリティプロダクトとのセット商品の導入は、サイバーセキュリティ対策の第一歩として取り組みやすいものといえる。
(3)信用を獲得するための「投資」の側面
サイバーセキュリティにおいては、自社のセキュリティ体制を構築するだけでももはや十分とはいえなくなっている。たとえば、サプライチェーン攻撃[注 12]では取引先が基点となって自社にサイバー攻撃が及ぶことがある。また2022年2月から3月に掛けて急増したEmotet攻撃においては、取引先がEmotetに感染した結果、当該取引先になりすましたEmotet付きメールが拡散されるという特徴があった。
こうした観点から、自社のみならず取引先を含めたサイバーセキュリティ体制構築の必要性が高まっており、契約取引交渉において取引先のサイバーセキュリティレベルを確認することが実務上増えている印象である。
その確認の1つとして、サイバー保険加入の有無を確認されることがある。
そうすると、サイバー保険の加入に伴う保険料について、従前は「費用」としての側面が強かったとしても、昨今では既存の契約を維持したり新規規約を獲得するにあたっての信用を高める「投資」としての側面も強まってきたといえる。
おわりに
世界的なサイバーセキュリティ企業であるVade Secureが、2022年2月から4月までののマルウェアの見地状況を調査した結果、日本企業は、企業規模や業種にかかわらずEmotetが検出されたことが明らかとなった[注 13]。このように企業規模や業種に関係なくサイバー攻撃のターゲットになり得ることから、サイバー保険の加入も、あらゆる企業において検討が必要といえる。
そして、これまで紹介してきたとおり、サイバー保険への加入を検討するにあたっては、自社にとって必要な補償ない湯を確認することがポイントとなり、また付帯サービス等の要素もサイバー保険選択のポイントとなり得る。
前述の日本損害保険協会が実施したアンケート調査によると、企業がサイバー保険に加入しない理由として最も多かったのは、「保険の補償内容や保険料についてよく知らないため」という回答であったが、本稿がサイバー保険への加入を検討する一助となれば幸いである。
注
- ↑ サイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(株)によると、2021年における日本国内のサイバー攻撃は、2020年に比べて85%増加している(httpps://news.mynavi.jp/techplus/article/20220513-2343471/(魚拓))また、警察庁の2022年4月7日付け「令和3年におけるサイバー空間をめぐる驚異の情勢等について」(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pd(魚拓))によると、2021年中野サイバー犯罪の検挙件数は12,209件と過去最多を記録している。
- ↑ 経済産業省・独立行政法人情報処理推進機構「サイバーセキュリティ経営ガイドラインVer2.0」
- ↑ 改正個人情報保護法の施行により、サイバー攻撃が原因で個人データの漏えいが発生した場合には、例外なく個人情報保護委員会に対し、漏えいが発生した個人データの項目や本人の数、発生原因等の報告が義務づけられたことから(個人情報保護法26①、同法施行規則7三・8)、事故原因および被害範囲の調査を行う必要性はさらに増したといえる
- ↑ なお、費用損害補償については、事故の種類によって、所定の公表要件を満たす等事故の発生が客観的に明らかになることが必要とされることもある。
- ↑ 利益損害補償については、オプションで特約を追加した場合に補償されることになる
- ↑ 加入するプランによっては、再発防止費用が補償対象とならない契約もある。また、再発防止費用については、損害額の一定割合(たとえば90%)を補償対象にする保険会社が多くみられる
- ↑ その他にも、病歴等のよう配慮個人情報が含まれるイオ人データの漏えいが発生した場合、個人データに係る本人の数が1,000人を超える漏えいが発生した場合等は、個人情報保護委員会への報告が義務付けられている(個人情報保護法26①、同法施行規則7一、四)。
- ↑ たとえば、三井住友海上火災保険㈱のサイバープロテクターにおいては、サイバー保険の加入企業は「専門事業者紹介サービス」を受けることができれている(https://www.cyber-protector.com/professionalintroduction/(魚拓))
- ↑ EDRとは、Endpoint Defection and responseの略で、PCやサーバーといったエンドポイントで不正な振る舞いを検知し、感染後の迅速な対応を支援するセキュリティソリューションを指す。
- ↑ たとえば、三井住友海上火災保険㈱の「見守るサイバー保険」では、従来のサイバー保険とEDRがセットとして提供されていることが確認できる(https://www.ms-ins.com/business/indemnity/pd-protector/option.html(魚拓))
- ↑ その他にも、あいおいニッセイ同和損害保険㈱は、同社のサイバー保険の提案とあわせて、協業するセキュリティベンダーが提供するセキュリティサービスの紹介も同時に行っている。サービスラインナップを見る限り、①ルール作り・従業員教育、②端末対策、③出入口対策、④ウェブサイト対策といったセキュリティサービスの紹介が確認できるhttps://www.aioinissaydowa.co.jp/corporate/about/news/pdf/2021/news_2021072900885.pdf/2021/news_2021072900885.pdf(魚拓)
- ↑ サプライチェーン攻撃とは、ターゲットとする企業に対して直接サイバー攻撃を行うのではなく、比較的セキュリティ対策が弱い関連会社を攻撃し、それを足がかりにターゲット企業への侵入・攻撃を行う手法である。
- ↑ https://prtimes.jp/main/html/rd/p/0000000024.000061783.html(魚拓)
スキャン画像
註釈
- ↑ 八雲法律事務所の表記(魚拓)に倣って省略しました