サイバー保険とは？DX時代におけるセキュリティの新常識！

新型コロナウィルス感染症(COVID-19)によって、デジタルトランスフォーメーション（DX）が加速しています。

ビジネスはテレワークが主体となり、社会や生活の様々なシーンでデジタルデバイスが使われています。

しかし、デジタル化はサイバー上のリスクと隣り合わせです。

そこでサイバーリスクを補償する仕組みとして損害保険各社が法人向けのサイバー保険を相次ぎ商品化しています。

車社会のリスクに自動車保険が欠かせないように、デジタル社会のリスクにはサイバー保険が不可欠になるかもしれません。

サイバー保険とはどのような保険なのでしょうか？

【参考】テレワーク導入に際し気を付けるべき6つのリスクと3つの対策

サイバーリスクとは何か？

サイバーリスクとは、サイバー上の脅威によって発生するリスクのことです。

具体的には個人情報や機密情報等のデータの漏えいや破壊、システムやネットワークの障害や破壊があります。

サイバー上の脅威とは主にマルウェアなどを使って攻撃をするサイバー攻撃のことを言います。

社員の端末がマルウェアに感染し、そこから会社のネットワークに侵入されてデータが窃取され、すべてのデータが暗号化されて金銭の支払いを要求される、このようなことが、すでに頻繁に起きています。

サイバーリスクによって発生する問題は、自社内にとどまらず顧客や取引先を巻き込み、さらには社会的な信用問題にまで発展します。

システムやネットワークの感染状況を調査する費用や感染した端末やサーバーをクリーンアップする作業、関係先への通知、再発防止策など相応の費用が発生します。

しかも、ビジネスを復旧させるまでに時間がかかり、その間、業務が停止すれば営業上大きなダメージとなります。

顧客や発注先等から損害賠償を請求されるかもしれません。

サイバーリスクは、サイバー上の直接的なリスクに加え、それに伴って様々なリスクが発生する極めて重大なリスクです。

中小企業が狙われている

企業がサイバー攻撃を受けたニュースは日本でもしばしば報道されていますが、ニュースを見ていると三菱電機やホンダなど知名度のある大きな企業ばかりが狙われている印象を受けます。

しかし、実際には中小企業が相当数の被害を受けています。

デジタル・インフォメーション・テクノロジー株式会社が実施した従業員100名以上のウェブ事業の経営者やセキュリティ担当者ら1044人を対象にしたインターネット調査では、7割近くがサイバー攻撃を受けた経験があると回答しました。

その主要な中身はシステム破壊が約29％、個人情報の流出が約25％、ウェブサイトの改ざんが約43％でした。

企業向けのIT施策に取り組んでいる独立行政法人情報処理推進機構(IPA)は、中小企業は業種や規模を問わず例外なくサイバー攻撃の危険に晒されていると言っています。

中小企業はなぜ狙われているのでしょうか？

その理由の1つはセキュリティ対策に手が回らず脆弱なシステムであったり、ネットワークに付け入る隙があったりして攻撃しやすいからです。

もう1つは、ネットワーク化によって中小企業のシステムに侵入することで大手企業のデータを入手することができたり、他の企業のシステムに侵入することができるからです。

いわゆるサプライチェーン攻撃の入口としてセキュリティが脆弱な中小企業が狙われているのです。

【参考】am I infectedとは？無料でネット環境の安全を確認するツール

補償の中身は何か？

こうしたサイバー上で発生した事故に包括的に対応するのがサイバー保険です。

サイバー保険に加入することで補償される中身は大きく分けて以下の3つです。

1. 事故対応
2. 損害賠償責任
3. 利益損害・営業継続費用

ではサイバー攻撃はどのようにして表面化するのでしょうか？

顧客や取引先からメールが届かないとの苦情が入ったり、社員の使っている端末機器が操作できなくなったり、ネット上のサービスに不具合が発生したり…最初はちょっとしたシステム障害だと思われるかもしれません。

しかし、障害がどんどん広がり、社内のエンジニアだけでは対処できず外部の専門業者を入れて原因調査が行われ、その結果、マルウェアに感染していることが判明、データの流出や場合によってはデータが暗号化されていて高額の現金を請求するメッセージが残されていたりします。

ログの解析など原因を調査するための費用、顧客や取引先等に対応するための費用、感染したシステムを復旧させるための費用などサイバー事故に対処するために多くの費用が発生します。

そうした費用を補償するのが「事故対応」補償です。

また、サイバー事故の発生によって事業がストップしてしまうことも多々あります。

その間の営業損失をカバーし、営業を継続するためにかかった経費を補償するのが「利益損害・営業継続費用」補償です。

さらにデータの流出やサービスの停止によって顧客や取引先等から損害賠償が請求された場合、その賠償金を補償するのが「損害賠償責任」補償です。

保険金はどのくらいなのか？

日本損害保険協会によると国内では現在７社でサイバー保険の取り扱いがあるようです(2021年6月現在)。

補償の限度額は、例えば東京海上日動火災のサイバーリスク保険では事故対応費用の支払い限度額は1事故につき1億円、損害賠償責任の支払限度額は1請求3億円、利益損害と営業継続費用の支払限度額はそれぞれ1億円としています。

三井住友海上のサイバープロテクターは事故対応を含む費用損害が100万円から5億円、賠償損害は1000万円から10億円の範囲内で支払い限度額が設定されているようです。

保険料は業種や会社の規模、セキュリティ対策の実施の有無等、企業の状態に応じて損保が決定しますが、例えば東京海上日動のサイバーリスク保険では年間売上高100億円の教育機関の場合の保険料を176万円、年間売上高100億円のインターネット小売り・通信販売事業者の場合の保険料を約166万円と紹介しています。

また、三井住友のサイバープロテクターでは自動車小売業で保険料８万～約30万円、不動産・ビル管理業で８万円～約49万円、インターネット関連サービス業で約11万円～約189万円の各種プランを紹介しています。

セキュリティベンダーの紹介も 

自動車保険の場合、事故が起きて保険会社に連絡をすると保険会社がレッカー車を手配したり、修理業者を紹介してくれます。

サイバー保険も同様にサイバー事故が発生した際は、セキュリティベンダーや調査会社、法律事務所、またコールセンターの設置などサイバー事故に対処するための業者や専門家を保険会社から紹介を受けて対応することができるメリットもあります。

2022年6月までに施行される改正個人情報保護法では不正アクセスに伴う個人情報の漏えいについて、その数を問わず通知義務の対象となり、国の個人情報保護委員会に報告せずにいると命令を受けたり、ケースによっては最大1億円もの罰金を受ける恐れがあります。

【参考】IT介護とは？IT音痴が引き起こす問題と採り得る4つの対策

まとめ

デジタル社会が進めば進むほどサイバー事故は企業にとって看過することができない事故になることは明らかです。

セキュリティ対策と合わせて事故が起きた際の対処方法や必要経費についてあらかじめ検討し、適切な対処方法を策定しておくことが重要です。

【参考】ワーケーションのツールはどれがいい？おススメの5つを紹介