サイバー保険の概要と加入に際しての検討事項

正式名称は「信用確保の『投資』となり得る　サイバー保険の概要と加入に際しての検討事項」である。
2021年に入り、山岡はサイバー保険を展開している保険会社と合同でセミナーを開催する機会が増加しており、本稿はその営業も兼ねての寄稿と推測される。
旬刊経理情報の投稿は約1年半前の「サイバーセキュリティリスクに備える契約上の留意点～秘密情報の開示・漏えいの取り扱い～」以来であり、前回の山岡と千葉の他に今回は町田力も共著として参加している。
このことから、町田は裁判だけではなく、サイバーインシデントについても対応していることが推測される。

この記事のエッセンス

• サイバー保険の補償内容は、損害賠償の補償・費用損害の補償・利益損害の補償の3本柱から成り、サイバー保険への加入を検討するにあたっては、自社にとって必要な補償内容の確認がポイントとなる。
• サイバー保険に加入した場合の付帯サービスとして、専門業者の紹介サービスや、サイバー保険にセキュリティプロダクトを一体化したパッケージ商品を提供する保険会社も存在しており、こうした要素もサイバー保険選択のポイントとなり得る。

はじめに

サイバー保険とは、サイバー攻撃を受けた場合に発生する損害を補償する保険である。サイバー攻撃の増加により、企業のサイバーセキュリティ対策は急務であるところ、サイバー保険への加入は、経済産業省からも企業が実施を検討すべきサイバーセキュリティ対策の１つとして推奨されている。
本稿では、まずサイバー保険の概要について紹介したうえで、サイバー保険への加入を検討する際のポイントとして、想定事例を用いてサイバー保険で補償される内容、およびサイバー保険を加入した場合の付帯サービスや付随効果を紹介する。

サイバー保険の概要

（１）補償の概要

サイバー保険の補償内容は、加入するプランやオプションとして追加する特約により異なるものの、基本的には、損害賠償の補償・費用損害の補償・利益損害の補償の３本柱から成る。
なお、サイバー保険の補償対象となる事故は、サイバー攻撃に限られず、メール誤送信、データが記録されたUSBメモリーの紛失といったヒューマンエラーによる事故、従業員による顧客情報の不正持ち出し等についても補償対象となり得る。

①損害賠償の補償

損害賠償の補償とは、サイバー攻撃等に起因して被保険者が第三者に対して法律上負担する損害賠償金を補償するものである。たとえば、企業がサイバー攻撃を受けたことにより、自社が管理する個人情報が漏えいした場合、情報が漏えいした個人から損害賠償請求を受ける可能性がある。その場合、当該企業において個人情報の管理につき落ち度があり、それが原因で漏えいが発生したのであれば、企業はその個人に対して法律上負担することになるこれらの損害賠償金を補填するものである。
また、サイバー攻撃により企業が管理する取引先の機密情報が漏えいした場合には、当該取引先から機密保持義務違反を理由とした損害賠償請求を受ける可能性もある。損害賠償補償は、被保険者が法律上負担することになるこれらの損害賠償金を補填するものである。

②費用損害の補償

費用損害の補償とは、サイバー攻撃を受けた場合等に、被保険者が対策を講じることによって負担することとなる費用を補償するものである。
たとえば、事故原因や被害範囲の調査のために実施したフォレンジック調査の費用のほか、サイバー攻撃を受けて使用不能となったデータやコンピュータシステムの復旧費用、個人情報の漏えい等が発生した場合において被害者からの問い合わせを受け付けるコールセンターの設置費用、被害者に対する見舞金・見舞品の購入費用、個人情報保護委員会に対する報告その他の法律問題のために相談した弁護士費用、今後同様の被害に遭わないための再発防止策の策定および実行に係る費用の補償がこれに該当する。
交通事故や火災事故の場合には、その事故原因や被害範囲の調査は原則として警察や消防が実施する。他方、サイバー事故においては、攻撃に海外のIPアドレスが使用されている場合など事実上捜査が困難なケースが多く、また後述する個人情報保護法上の報告義務の観点から速やかに調査・好評をする必要がある。そのため、サイバー攻撃を受けた企業においては、自社で専門事業者に依頼し、事故原因や被害範囲の調査を実施することが必要となる。かかる必要性から、サイバー事故の調査費用等について保証される点にサイバー保険の特徴がある。

③利益損害の補償

利益損害の補償とは、事故がなければ被保険者が得ていたであろう利益（逸失利益）を保証するものである。たとえば、サイバー攻撃を受けて工場制御システムが停止した場合に、そのシステムの停止がなければ得られたはずの営業利益の保証がこれに該当する。

（２）サイバー保険の加入率

一般社団法人日本損害保険協会が2020年10月に実施したアンケート調査の結果によると、サイバー保険に「加入している」と回答した企業は、全体の7.8％にとどまる（図表１）。企業規模別に加入率をみると、大企業は9.8％、中小企業は6.7％であり、中小企業のほうが加入が進んでいない。
一方、全体の約2割が「現在は加入していないが、今後加入予定」と回答しており、中小企業のほうがその比率が高くなっている（大企業16.9％、中小企業20.7％）。自社のサイバー保険の加入状況について、全体の3割超（33.4％）が「わからない」と回答しているのも特徴的である。現在の加入率はこれよりも上昇していると考えられるが、まだまだ認知度は低いといえる。

想定事例を用いたサイバー保険の補償内容

次頁図表２は、医療機関がランサムウェア攻撃を受けた場合のインシデントレスポンスの一例である。医療機関X病院において、社内ネットワークに置かれたPC3台、ファイル共有サーバー1台およびカルテシステムが暗号化されたことが発覚したため、ただちにセキュリティベンダーであるフォレンジック会社に事故原因および被害範囲の調査を、弁護士に個人情報保護法に基づくインシデント対応をそれぞれ依頼した。
また、ダークウェブ上のリークサイトに、摂取された情報の一部が公開されていることが判明したため、速やかに個人情報保護委員会への報告（速報）を行うとともに、ホームページ上でサイバー攻撃を受けた事実を公表した。その後、フォレンジック調査の結果、不正アクセスの経路および漏えいしたデータの範囲が判明したことから、個人情報保護委員会への報告（確報）を行い、患者等への個別説明を行った。暗号化されたカルテシステムの復旧には1か月掛かり、その間、X病院は医療サービスを停止せざるを得なかったため、今後同様の被害に遭わないためにセキュリティ商品を購入してセキュリティ強化を図った。この事例を用いて、サイバー保険による損害賠償の補償・費用損害の補償・利益損害の補償を紹介する。
たとえば、5月1日にランサムウェア攻撃が発覚し、翌2日に外部の専門家（フォレンジック会社、弁護士）と契約を締結したとする。この場合、フォレンジック調査費用が1,000万円、弁護士費用が500万円掛かると仮定した場合に、これらは費用損害補償として保険金支払の対象となり得る。
さらに、同日に個人情報の漏えいが明らかとなった場合、個人情報が漏えいした個人から慰謝料請求を受ける可能性があり、仮にその総額が500万円（1件10,000円×500名）とした場合、これは損害賠償保障として保険金の支払い対象となり得る。
続いて6月1日にカルテシステムを再構築して、医療サービスを再開するが、それまでの間、医療サービスの停止に伴う逸失利益が生じている。その総額を仮に2,000万円とした場合、これは利益損害補償として保険金の支払い対象となり得る。
最後に、7月30日に再発防止策の策定を完了する。この場合、セキュリティ製品の導入費用が2,000万円掛かると仮定した場合に、これは費用損害補償として保険金の支払対象となり得る。
なお、前期の金額はあくまで想定事例上のものではあるが、警察庁が2021年にランサムウェの被害を受けた企業・団体等を対象に実施したアンケート調査の結果では、ランサムウェアの多様さ・復旧に要した費用総額について、1,000万円以上の費用を要したとの回答が全体の43％を占めており（図表3）、調査・復旧費用としてかなりの費用が必要となることがわかる。
今回は医療機関を例としたが、事業会社などでも同様の対応が必要になることが考えられる。

サイバー保険の付帯サービス・付随効果

（１）専門業者の紹介サービス

サイバー攻撃を受けた場合、被害企業だけで事後対応を行うことは容易ではなく、さまざまな専門家のサポートを売ることが重要となる。
たとえば、サイバー攻撃の原因や被害範囲について調査をする必要があるところ、第三者機関であるセキュリティベンダーにフォレンジック調査を依頼することになる。
また、2022年4月1日施行の改正個人情報保護法のもとでは、サイバー攻撃が原因で個人データの漏えいが発生し、または発生したおそれがある場合には、件数の多寡にかかわらず個人情報保護委員会への報告義務があることに加え（個人情報保護法26①、同法施行規則7三）、情報漏えい時には個人情報が漏えいした個人や機密保持義務違反を主張する取引先との間での法的紛争に対応する必要があるため、それらの対応を弁護士に依頼することになる。
さらに、サイバー攻撃を受けた事実を公表する場合には、情報が漏えいした被害者等の利害関係者から大量の問い合わせが寄せられるので、それに対応するためのコールセンターを設置することもある。
サイバー保険においては、前記「サイバー保険の概要」で紹介した金銭的な損失の補償だけでなく、サイバー攻撃を受けた企業を総合的にサポートすべく、セキュリティベンダー、弁護士、コールセンターと言った専門事業者を紹介するサービスを提供する保険も存在する。
サイバー攻撃の事後対応であるインシデントレスポンスの現場においては、混乱を極めていることが多く、また、有事になって急に専門家を探しても適切な専門家を確保することは容易ではない。こうした有事の状況下において、各保険会社が提携している外部の専門家の紹介を受けることができるのは、サイバー保険の大きな副次的効果といえる。
また、事業者がサイバー保険に加入していれば与信の問題は緩和されるため、セキュリティベンダーや弁護士等の専門家側もスピーディに動きやすく、その点でも事業者にメリットが大きいといえる。

（２）サイバー保険とセキュリティプロダクトとのパッケージ商品

昨今では、事故が起きた後の補償であるサイバー保険の提案とあわせて、事故を未然に防ぐためのセキュリティサービスの提案も行われている。
わかりやすい一例として、サイバー保険に加えてセキュリティプロダクトであるEDRがセットとして販売されている例がある。これは、ランサムウェアなどのマルウェアによる攻撃を受けた場合に、EDRが早期に検知して被害端末を隔離してくれるため、そもそもサイバー攻撃による被害が発生・拡大するリスクを低減させることができることに加え、仮に被害が発生してもサイバー保険が損害を補償してくれるという内容である。
リスクマネジメントの観点からは、アンチウィルスソフトやEDRといった技術的なセキュリティプロダクトの導入はリスクの低減にあたるのに対して、サイバー保険の加入はリスクの転嫁にあたる。そうすると、サイバー保険にセキュリティプロダクトを加えたこれらの商品は、サイバーリスクの転嫁および提言の両方の効果を有するため、サイバーリスクのマネジメント上有用な商品といえる。
また、セキュリティプロダクトがインシデントのアラートやログの保存機能を備えている場合には、そのアラートやログに基づいて速やかに保険金の支払いを受けることができるなど、サイバー保険と連動している点や、セキュリティサービスの導入の結果、セキュリティ対策が強化されることで、サイバー保険の保険料割引が適用できる点でもパッケージ商品の導入にはメリットがある。
サイバーリスクは、技術的な要素が強いため具体的なイメージを持ちづらく、また多種多様なセキュリティプロダクトが市場に溢れているため、サイバーセキュリティ対策の必要性を感じても何から始めてよいかわからないという企業も少なくない。こうした企業にとって、サイバー保険とセキュリティプロダクトとのセット商品の導入は、サイバーセキュリティ対策の第一歩として取り組みやすいものといえる。

（３）信用を獲得するための「投資」の側面

サイバーセキュリティにおいては、自社のセキュリティ体制を構築するだけでももはや十分とはいえなくなっている。たとえば、サプライチェーン攻撃では取引先が基点となって自社にサイバー攻撃が及ぶことがある。また2022年2月から3月に掛けて急増したEmotet攻撃においては、取引先がEmotetに感染した結果、当該取引先になりすましたEmotet付きメールが拡散されるという特徴があった。
こうした観点から、自社のみならず取引先を含めたサイバーセキュリティ体制構築の必要性が高まっており、契約取引交渉において取引先のサイバーセキュリティレベルを確認することが実務上増えている印象である。
その確認の１つとして、サイバー保険加入の有無を確認されることがある。
そうすると、サイバー保険の加入に伴う保険料について、従前は「費用」としての側面が強かったとしても、昨今では既存の契約を維持したり新規規約を獲得するにあたっての信用を高める「投資」としての側面も強まってきたといえる。

おわりに

世界的なサイバーセキュリティ企業であるVade　Secureが、2022年2月から4月までののマルウェアの見地状況を調査した結果、日本企業は、企業規模や業種にかかわらずEmotetが検出されたことが明らかとなった。このように企業規模や業種に関係なくサイバー攻撃のターゲットになり得ることから、サイバー保険の加入も、あらゆる企業において検討が必要といえる。
そして、これまで紹介してきたとおり、サイバー保険への加入を検討するにあたっては、自社にとって必要な補償ない湯を確認することがポイントとなり、また付帯サービス等の要素もサイバー保険選択のポイントとなり得る。
前述の日本損害保険協会が実施したアンケート調査によると、企業がサイバー保険に加入しない理由として最も多かったのは、「保険の補償内容や保険料についてよく知らないため」という回答であったが、本稿がサイバー保険への加入を検討する一助となれば幸いである。

注

• 旬刊経理情報2022年　6月10日号(魚拓)