セキュリティ保険の概要を徹底解説

近年、サイバー攻撃が身近な存在となっています。

そのため、業界問わずどの企業もサイバー攻撃の対象となるリスクがあり、いつ被害を受けるか予想できません。

そこでサイバー攻撃への備えとして挙げられるのが、発生した被害を補償するセキュリティ保険（サイバーセキュリティ保険）です。

今回は、サイバー攻撃の被害規模を踏まえた上で、セキュリティ保険の必要性やその重要性について解説いたします。

おすすめのセキュリティ保険商品についてもご紹介しているので、ＩＴ保険にお悩みの方はぜひこちらをご覧ください。

法人保険の無料相談はこちら

サイバー攻撃とは？

最近ではニュースや新聞などで目にする機会が多いサイバー攻撃。まずはその実態を知り、セキュリティ保険の必要性を考えてみましょう。

犯罪ビジネスとして扱われるサイバー攻撃は、時代とともに攻撃の対象が変わってきています。

10年前までのサイバー攻撃は個人を対象にし、いたずらや個人的な恨みを晴らす手段、迷惑行為などを行うことが目的でした。

しかし、ここ数年では、企業を対象に経済的利益の搾取や政治的な主張、テロなどを目的に行われるように変化。今では無視できないほどに被害規模が大きくなっています。

サイバー攻撃の件数推移は、2014年頃から急激に増加。年々倍以上に増え続けているサイバー攻撃は、2016年現在で1,281憶件を超える状態です。

また、サイバー攻撃の発生件数は業種別で差があります。

特に発生件数の多い業種は、教育・学習支援、金融・保険業など。

日本ネットワークセキュリティ協会が発表した2016年情報セキュリティインシデントに関する調査報告書によると、どちらの業種でも100件以上の情報漏洩事故が発生しています。

サイバー攻撃の対象として狙われるのは大企業に限らず、大量の個人情報を管理している企業が狙われやすいというわけでもありません。

セキュリティレベルが低く、脆弱性のあるシステムを使っている企業が狙われやすくなるため、セキュリティ面を強化するセキュリティ保険が必要となるのです。

業種別に見る情報漏洩事故件数

サイバー攻撃による損害

もしサイバー攻撃の対象となった場合、どれくらいの被害が発生するのでしょうか。

金額的な被害の度合いを知っていれば、セキュリティ保険の重要性をより実感することができるでしょう。

情報処理推進機構が発表した企業のCISO（Chief Information Security Officer 最高情報セキュリティ責任者）やCSIRT（Computer Security Incident Response Team　組織内で情報セキュリティ問題を取り扱う専門チーム）に関する実態調査2017調査報告書によると、直近会計年度でサイバー攻撃が発生したと回答した企業は全体の4分の1、26.1％でした。

賠償損害が発生した企業の中で多くの割合を占めるのは、100万円から1,000万円未満の割合です。

割合で見ると少ないですが、中には1,000万円以上の賠償損害が発生した企業も。サイバー攻撃の対象となるリスクはどの企業も0ではないため、もしもの損害に備えるセキュリティ保険は重要だといえるでしょう。

サイバー攻撃による損害

企業のサイバーリスクに対する意識

現状多くの企業に被害をもたらしているサイバー攻撃ですが、実際に社会全体では、どの程度サイバーリスクに対する意識が浸透しているのでしょうか。

ここでは、企業のセキュリティ対策に対する意識について見ていきます。

企業のサイバーリスクに対する意識

グラフを見ると、全体的に「組織的には行っていない」＝各自の対応に任せるとしている企業の割合が多くなっています。

規模の小さい企業ほどセキュリティ対策への意識が低くなっているところが特徴だといえるでしょう。

セキュリティ事故で企業が背負う責任

サイバー攻撃を受けると企業は「情報セキュリティ事故を起こした」という状態になり、会社経営者は法的責任を負うことになります。

まずはどんなサイバー攻撃に遭う可能性があるかを考えた上で、被害内容や法的責任について見ていきましょう。

サイバー攻撃の種類は、大きく２つに分けられます。

ひとつめは、ターゲットを特定しないもの。迷惑メールや悪意のあるソフトウェアを無差別に送り付け、企業に混乱をもたらすことが目的です。

ふたつめは、ターゲットを特定の企業に絞って目当ての情報を盗んだり、システムを乗っ取ったりすることを目的としています。

大企業・中小企業問わずサイバー攻撃を受ける可能性はありますが、気を付けたいのは攻撃者が特定の組織（大企業）を狙うために中小企業を踏み台にするリスクがあること。

会社の規模にかかわらず、セキュリティ保険などのセキュリティ対策をしておく必要があります。

サイバー攻撃による被害内容は、賠償損害をはじめ顧客の喪失や業務の停滞などが挙げられます。

どれも経営に直結する重大なリスクですが、すべてセキュリティ保険の補償範囲内であるため、保険に加入をしていればサイバー攻撃を受けても被害の度合いが大きく変わってくるでしょう。

情報セキュリティ事故を起こすと、会社経営者や役員、担当者の業務上過失として刑事または民事の責任を問われます。

個人情報保護法、マイナンバー法、不正競争防止法、民法などさまざまな法令の罰則を受けることになるため、情報セキュリティ事故による責任は重大だといえるでしょう。

サイバー攻撃への対策

サイバー攻撃を防止するには、３つの対策を行うことで効果を期待できます。

まず人的対策の内容は、社員の教育・訓練を行うことです。

日頃から社員ひとりひとりがセキュリティに対する意識を高められるよう、会社が主導となって行う対策です。

具体的には、情報遺産の分類、情報セキュリティ事故が発生した場合の対応をマニュアル化する、セキュリティポリシーを策定する、などが挙げられます。

他にも、入退室管理の徹底や不審者の侵入を防ぐなどのネットを通じない物理的対策、ウイルス対策ソフトを導入するネットを通じた技術的対策など、あらゆる面から対策を行うことでリスクを軽減することができるでしょう。

また、これらをすべて行っていたとしても、残念ながらサイバー攻撃による被害をすべて防げるわけではないことに注意が必要です。

セキュリティ保険の補償内容

企業が主体となってサイバーセキュリティ対策を行うことは大切ですが、それでも完全に外部からのサイバー攻撃を回避（防御）することはできません。

そのため、セキュリティ対策とセキュリティ保険を活用することでサイバー攻撃を受けたときの被害を軽減し、復旧や回復を図ることが可能です。

セキュリティ保険は、保険会社によって補償内容や保険料に違いがあります。

ここでは、多くの保険会社が採用している一般的なセキュリティ保険の補償内容を見ていきましょう。

賠償損害の補償

ネットワーク・ウェブサイトの運用管理によって発生した、法的責任に基づく賠償損害にかかる費用の負担を保険会社が行います。

サイバー攻撃による被害でも説明したように、1,000万円以上の賠償損害が発生する可能性もあります。

被害の中でも多くを占める賠償損害の金銭的な負担を軽減する面で、重要な補償内容だといえるでしょう。

事故対応費用の補償

該当するのは、サイバー攻撃を受けた際の被害範囲や原因の調査にかかる費用、外部調査機関への依頼料、問い合わせ対応のためのコールセンター設置費用などです。

事故対応における費用が発生した際にも保険会社が補償を行ってくれます。

サービス中断による費用の補償

サイバー攻撃を受けることでサービスや業務活動を中断せざるを得ない状況に陥ることも考えられます。

サービス中断による損失もセキュリティ保険の補償内容に含まれます。

営業利益の喪失や営業を続けるために必要な費用も補償されるので、保険加入によって業務上で安心感を得ることができます。

以上が、サイバーセキュリティ保険の基本的な補償内容です。

また、保険会社ごとで「海外での補償対応が優れているか」「保険加入者の情報セキュリティ支援サービスを利用することができるか」などの特徴があります。

法人保険の無料相談はこちら

保険料の目安

セキュリティ保険の保険料は、主に6つのポイントを元に金額が設定されます。

企業の売上高

売上高の高い会社ほどサイバー攻撃を受けるリスクが高まります。また、保有情報の価値も高くなる設定です。

業種

IT系企業やソフトウェアの開発に携わる会社の場合、不正アクセスの対象になりやすいため、保険料が上昇する傾向にあります。不動産や卸売業などは、保険料を低く抑えられることも。

補償内容

セキュリティ保険の補償内容が充実しているほど、保険料は高くなります。

企業で実施しているセキュリティ対策

セキュリティ対策に脆弱性があるほど、被害発生の直接的なリスクとなるため保険料は高くなります。

過去の事故発生状況

過去に情報漏洩が発生している企業は保険料が高くなります。

第三者認証取得の有無

企業のセキュリティ対策に関して第三者認証（プライバシーマークやISMS）の取得がある場合、保険料を低く抑えられる傾向にあります。

セキュリティ保険の保険料は、医療保険のような個別の見積もりと同じく、組織の事業規模やプラン内容によって料金に差が出ます。

実際に見積もりを依頼しないと正確な保険料を知ることはできませんが、目安となる金額例をいくつか挙げてみましょう。

IT企業

年間売上高：100億円　補償：最大5億円の場合 → 保険料：4,000,000円

インターネット小売通信販売事業者

年間売上高：100億円　補償：最大1億円の場合 → 保険料：500,000円

保険会社別！おすすめのセキュリティ保険

サイバー攻撃のリスクは完全にはぬぐえないもの。サイバーセキュリティ保険はセキュリティ対策の一助としての役割もありますが、実際にサイバー事故が起きてしまった時のために備える保障となっています。

補償内容については先ほどお話したようなものになります。こちらでは、各保険会社のサイバーセキュリティ保険を比較してご紹介いたします。

AIU損害保険「Cyber Edge」

AIU損害保険が取り扱うサイバーセキュリティ保険「Cyber Edge」は、サイバー攻撃を受けた際のリスクを包括的に保障する保険です。

保障内容が幅広く、事故が起きた際の初期対応のケアにも優れているため、初めての方でも安心して契約を行える保障内容となっています。

また特徴的なのが、AIU損害保険の「Cyber Edge」は世界35ヵ国で販売されているため、グローバルな案件に対しても万全の対応ができるということです。

万が一、海外の事業所がサイバー攻撃の被害に合った場合には、各国の危機管理コンサルティング機関をご紹介することができます。

東京海上日動火災保険「サイバーリスク保険」

東京海上日動の「サイバーリスク保険」は、サイバーセキュリティ事故が起因の各種損害に対して国内海外を含めて包括的に保障します。

不正アクセスが発覚した場合は当然。不正アクセスの「おそれ」があると感じた場合にも、その原因調査にかかった費用に対して補償を行ってくれる保険です。

さらに、近年増加しているIoT機器への不正アクセス、情報の漏洩に対しても補償が行われます。

また、サイバーリスク保険加入者には、リスク診断サービスなど、費用の補償以外にもサイバーリスクに関する支援サービスがあることが特徴です。

損保ジャパン日本興亜「サイバーLite」

損保ジャパンのサイバーセキュリティ保険「サイバー Lite」では、サイバー攻撃を受けたとき以外にも偶発的な事故が起因となるネットワーク停止や情報漏洩などに備えた保険です。

保険加入者は、有料サービスを利用することでISO27001（ISMS）認証取得コンサルティングや情報セキュリティ事故に関する教育・訓練コンサルティングを受けることができます。

ISO27001は情報セキュリティレベルの向上を目的とした情報セキュリティマネジメントの国際規約です。

こちらの認可を取得することで、情報セキュリティに優れている企業だと対外的に示すことができます。

Chubb損害保険「Cyber Pro」

近年急拡大しているランサムウェアなどのサイバー恐喝に対応したセキュリティ保険がChubb損害保険のセキュリティ保険「Cyber Pro」です。

基本的な概要は他のサイバーセキュリティ保険と同様ですが、オプションを付けることで、自社webサイト上のコンテンツで著作権、商標権などの知的財産権を侵害していると提起された場合にかかる費用が補償対象となります。

気になるサイバーセキュリティ保険は見つかったでしょうか。

IT保険は事故範囲が広いことから補償内容が商品ごとに曖昧になりがちです。

この保険会社のサイバー保険に加入したいけど、補償内容に不安があるといった場合には、個人で悩まず保険会社や保険のプロに相談をしましょう。

セキュリティ対策に保険加入を検討してみませんか？

どの業界の会社でも、サイバー攻撃の対象となるリスクは0ではありません。

サイバー攻撃の発生件数が増加していく現代では、セキュリティ面での対策とセキュリティ保険への加入、この2つで“もしも”の際のリスクに備えることができます。

自社だけでなく、取引先や消費者の安全を守るためにも、「サイバー事故発生を未然に防ぐこと」「発生した場合のリスクを軽減すること」どちらも対策をご検討下さい。

法人保険の無料相談はこちら