サイバー攻撃による被害を補償してくれるサイバー保険。
IT関係の企業以外でも加入できる保険ですが、あなたの企業は導入済でしょうか?まだという企業の方は、手遅れになる前にサイバー保険加入の検討をおすすめします。
世界最大級のコンサルティングファームPwC Japanが公開した「経済犯罪実態調査2018 日本分析版」(※)によると、サイバー攻撃を受けた日本企業の数は、2015~2017年の2年間で3倍にも増加しています。
※参考:PwC Japan 『経済犯罪実態調査2018 日本分析版』
サイバー攻撃は1度被害を受けるとその影響は何万という顧客・取引先に及び、賠償額も甚大なものになります。
たった1度のサイバー攻撃で倒産などという事態になる前に、今のうちからサイバー保険で対策を検討してみませんか?
この記事では、サイバー保険が保障する範囲や内容、具体的な保険商品を紹介していきます。サイバー攻撃の実情や、実際に起きた事故例とあわせて見ていきましょう。
サイバー保険の概要
サイバー保険とは、特徴として、企業保険の中でもサイバーリスクに特化している点があげられます。
加入条件としては、あらゆる企業が対象になっている場合が多いです。他の損保商品とは異なり、企業向けがメインで、個人向けのサイバー保険はほとんどありません。
各社が用意するサイバー保険によって内容は異なりますが、企業が業務のためにネットワークを所有・使用もしくは管理するにあたって、偶然にサイバー被害を受けた場合、損害に対して保険料が支払われるものです。
「偶然の事由」であることが必須となるため、従業員が故意に起こした事故である・故意にセキュリティ強化を怠った場合は補償対象外となります。
サイバー攻撃の現状
近年、サイバー攻撃に対する脅威は増大しています。
2016年1月から導入されたマイナンバー制度では、従業員の個人情報をナンバー管理することが義務化されました。
従来の個人情報管理とは異なり、マイナンバーは紐付く情報量が多く、広範囲にわたります。そのため、不正使用されるリスクを高める結果となりました。
国立研究開発法人・情報通信機構(NICT)が2016年に発表した海外から日本に対するサイバー攻撃の数は、1281億件にのぼります。
秒単位で多数の攻撃を受けているため、経済産業省は企業に対し「サイバーセキュリティ経営ガイドライン」の中で「サイバー保険の活用」を掲げるほどです。
サイバー保険の活用が推奨されるとともにサイバーセキュリティ市場の市場規模も拡大し、今日では度重なるサイバー攻撃を防ぐために被害を食い止めるより、攻撃された後の対策・保険が重要視されています。
事故例と損害賠償額
ここでは、サイバー攻撃により被害を報告した企業の例をご紹介します。事故例から、どのような攻撃になるのか・被害規模はどのくらいになるのかを見ていきましょう。
A社(2015年4月)
2014年12月、企業株主向けのインターネットサービスが偽のダイレクトメールによるサイバー攻撃を受け、株主の個人情報が漏えいしました。
漏えいした情報は株主の氏名、住所や性別・生年月日など。必須登録情報であったメールアドレス・電話番号も漏えいの対象となります。
サービス登録者は全体で6,000人超えとなっており、専門家によるセキュリティ強化を実施して対策を図りました。
B社(2015年6月)
情報管理システムサーバに外部から不正アクセスがあり、情報が漏えい。登録されていたおよそ125万人分の個人情報が流出しました。
原因は支店従業員の1人に届いたメールに添付されているファイルで、開封した際にパソコンがマルウェアに感染したのが始まりです。
パソコンはLANネットワークを使用しており、そこから複数のフォルダが次々とウィルスに感染し全国的な情報漏えいに繋がったとされています。
C社(2015年9月)
企業が運営するギフトサイトに不正アクセスが発見され、顧客情報が漏えいしました。漏えい規模は13万件を超えており、攻撃されたサイトは1つにとどまらず、4サイトにわたることが判明しています。
C社は第三者機関に調査を依頼することで脆弱性対策を実施し、サイトを閉鎖する事態に発展しました。
このような被害が起こった場合、被害顧客に対する損害賠償や事件の調査のための費用の他に、自社のブランドイメージの悪化や、それに伴う顧客・売上減少が起こりえます。
サイバー攻撃による損害賠償額とは?
2016年に日本ネットワークセキュリティ協会が発表したところによると、同年のサイバー攻撃による情報漏えい人数は1,400万人近くにのぼり、インシデント件数は468件となっています。
想定される損害賠償額は2,788億7,979万円です。
それぞれの被害規模によって異なりますが、1件あたりの損害賠償額を計算するとおよそ6億円以上となり、情報漏えい人数で計算すると1人あたりおよそ3万円となります。
損害賠償額では計算上以上の数字が算出されますが、受けた被害の中には企業ブランド・コンセプトに対するイメージ低下や、顧客喪失によるその後の収益減なども考えられるでしょう。そのため、損害賠償額以上の被害もあると仮定しなければなりません。
また、サイバー攻撃は高度な技術を駆使して行われることであり、専門機関に調査を依頼する・調査費用を用意することも必要です。
以上のように、サイバー攻撃の被害を受けると、損害賠償、利益損失、対応費用などあらゆる面でお金がかかってしまいます。
このような事態を避けるために「サイバー保険」が作られており、損害賠償はもちろん、利益損失等も補償してくれるような補償内容が設計されています。
では、次の章でサイバー保険の補償内容について、細かく見ていきましょう。
補償ケース
ここからは、一般的なサイバー保険の補償内容について見ていきましょう。
まずは、サイバー保険で補償される事故ケースを以下にまとめました。
企業が所有する個人情報の漏えい、またはその恐れがある場合
先ほどご紹介した被害例にもあった「個人情報の漏えい」。多くのサイバー被害に当てはまり、主にサーバーへの不正アクセスや、検知ソフトウェアが原因となります。
個人情報の漏えいは従業員のものであったり顧客のものであったりしますが、いずれにせよ企業にとって大きな損失に外なりません。
迅速な被害対策・対応と被害を受けた企業に対する長期的なサポートが必要となるでしょう。
企業が所有するデータや情報を消失、または破壊された場合
企業の端末(パソコン・スマートフォンに限らず)がコンピューターウィルスに感染すると、端末自体の情報や端末から発信されるメールを介してウィルスが広がります。
自社企業だけでなく、取引先企業にも影響が出るケースです。このような場合も、サイバー保険の補償対象となります。
企業の管理ネットワークが使用不能になった場合
サイバー攻撃によって企業サーバーがダウンしたり、業務の継続が不可能になったりすることも想定されます。
こちらも、自社企業の業務に関わる取引先企業にも影響を及ぼします。
補償内容
サイバー保険に加入すると、幅広い内容の補償を受けることができます。
補償の範囲もサイバー保険各商品によって異なりますが、ここではサイバー保険の代表的な補償内容を見ていきましょう。
損害賠償金の補償
企業がサイバー攻撃を受けると、運営管理に関わる法的責任が問われることとなります。
この責任にかかる費用負担や損害賠償額をサイバー保険が補償してくれるのです。
事故対応費用を補償
サイバー被害の手口は高度技術が用いられていることが多く、被害の原因は第三者機関に依頼するケースもあります。
その際、調査費用が必要となりますが、サイバー保険の種類によってはこれらの調査にかかる費用を補償してくれるでしょう。
被害内容によっては、事故対応のためにコールセンターや問い合わせ・謝罪を行うこともあります。
コールセンターの設置費用を補償する場合もあるため、サイバー保険加入していれば補償内容の確認をおすすめします。
サービス中断による費用補償
ウェブサービスを提供する企業も少なくない今日、サイバー攻撃によるサービスの中断は、企業に対して大きな損害をもたらします。
利益喪失や営業継続に必要な企業コストを補償してくれるサイバー保険もあるため、被害に活用していきましょう。
サイバー保険選びで比較するべき項目
各社から提供されるサイバー保険の中で、加入するものに迷ったら補償内容で比較するのもひとつの手段です。
検討材料となる補償内容を以下にまとめました。
海外からの攻撃被害に対応できるサイバー保険か
サイバー保険の中には、国内からの攻撃被害には補償が手厚くても、海外からの攻撃は対象外としているものもあります。
総合的なリスクマネジメントを実現するためには、海外に対する攻撃にも補償があるプランを選ぶのをおすすめします。
サイバー保険によっては「風評被害」に対応するものも
企業への風評被害に対するコスト補償を行う保険もあります。
サイバー攻撃は匿名ハッカーからだけではありません。ネットでの風評被害も、ある種の“サイバー攻撃”です。
これらに対する補償はこれまで用意されていませんでしたが、サイバー保険で補うこともできるようになりました。
保険商品の紹介
では、ここからは具体的なサイバー保険商品について紹介していきます。
代表的な2つの保険商品を取り上げたので、保険加入の検討にお役立て下さい。
サイバーリスク保険 東京海上日動
まずは、東京海上日動のサイバーリスク保険です。
損害賠償保険に強い東京海上日動ですが、サイバー保険についても充実した保険商品を用意しています。
補償ケースと補償内容
サイバーリスク保険の補償ケースと補償内容については、下記の一覧の通りです。
①下記の2点において、法律上の損害賠償金、訴訟費用・弁護士費用などを補償
・自社ネットワークの所有・使用・管理等に関する以下の場合
- 第三者の事業の休止または阻害
- 第三者のデータ、またはコンピュータプログラムの滅失・破損
- 人格権・著作権の侵害
- その他の不測の事由による他人の損失の発生
・情報の漏えいまたはそのおそれ
②セキュリティ事故によって起こる不正アクセス等対応費用・再発防止費用等や訴訟対応費用について、下記の内容を補償
- 不正アクセス等対応費用
- セキュリティ事故の原因・被害範囲調査費用
- セキュリティ事故に対応するための相談費用
- セキュリティ事故で被害を受けたデータ等復旧費用
- 再発防止費用
- 訴訟対応費用
- その他事故対応費用(人件費、通信費、コールセンター委託費用など)
③不測かつ突発的な下記の原因で、ネットワークを構成するIT機器等が機能停止したことで生じた利益損害、営業継続費用を補償
- 不正アクセス等
- 役員・使用人によるネットワークの操作・保守上の過誤
- 役員・使用人によるネットワーク上におけるデータの入出力・処理上の過誤
補償ケース例
東京海上日動のサイバーリスク保険で補償される事例を紹介します。
- 顧客情報を管理するサーバーが不正アクセスを受けて、情報漏洩と機能停止が発生。
顧客からの損害賠償と、自社の利益損失という被害を受けた。
- ウイルスメール攻撃を受け、自社のコンピュータがウィルスに感染。
データ提供時のUSBを通じて取引先にもウイルス感染が広がり、取引先のデータを消失させてしまった。
- 自社の情報サーバーに不正アクセスされ、顧客情報を盗まれた。
外部業者に再発防止策を相談した際に、相談費用がかかった。
サイバー保険 Chubb損害保険(チャブ保険)
次は、Chubb損害保険のサイバー保険です。この保険会社は、長年サイバー保険を扱ってきた実績があり、安心感のある保険内容になっています。
特に、補償ケースに「サイバー恐喝」をされた場合も含まれている点が特徴的で、サイバー攻撃で想定される様々なリスクに備えられる保険でしょう。
サイバー保険の補償ケース
| 事例 | 事故内容 |
|---|---|
| 情報管理 | 情報漏えいや、第三者に提供したデータに誤りがあった場合 |
| ネットワーク セキュリティ |
自社ネットワークに侵入したウイルスを第三者に拡散した場合 |
| サイバー恐喝 | ランサムウェアなどにサイバー恐喝をうけた場合 |
| データ被害 | 自社ウェブサイトが改ざんされる、データが破壊される |
| 利益損失 | サイバー攻撃などで事業が中止した場合 |
| 知的財産権の侵害 | 自社ウェブサイト上のコンテンツが、第三者の著作権・商標権等の 知的財産権を侵害していると損害賠償を問われた場合 |
補償内容
| 事例 | 補償内容 |
|---|---|
| 情報管理 | 損害賠償金、 争訟費用、 事故対応費用 |
| 不正アクセス/ ウィルス |
損害賠償金、 争訟費用、 事故対応費用 |
| 行政調査 | 調査対応費用 |
| 事業中断 | 利益損失分、 営業継続費用 |
| ミス/ プログラムエラー/ 停電・過電流 |
利益損失分、 営業継続費用 |
| サイバー恐喝 | 外部への対策相談 のための費用 |
| 著作権・商標権・ 人格権に関する 自社コンテンツ 賠償 |
損害賠償金、 争訟費用、 危機広報費 |
補償ケース例
Chubb損害保険のサイバーリスク保険で補償される事例を紹介します。
- 自社のコンピュータがランサムウェアに感染し、内部のデータをロックされた。
解除のために莫大な金額を請求する恐喝を行われ、外部へ相談したところ費用がかかった。
- 自社のECサイトに不正アクセスされ、サイト内を改ざんされた。
サイトを修正するまでの間収益が減り、利益損失となった。
サイバー保険は、上記の他にも三井住友海上保険やAIU損害保険会社、損保ジャパン、あいおいニッセイ同和損保などでも取り扱っています。
保険の内容によって補償金額なども異なるため、保険加入検討の際には約款をよく確認するようにしましょう。
企業のサイバー保険加入率
年々増えつつあるサイバー攻撃被害ですが、実のところ、サイバーセキュリティ対策が十分な企業は多くありません。
しかし、サイバーセキュリティを強化しようと考えている企業にとって、サイバー保険は活用しやすい手段として捉えられています。
情報処理機構が行った2015年の調査(企業におけるサイバーリスク管理の実態調査2015)によると、以下のような結果が得られました。
IT関連保険加入率
| 実施している企業の IT関連保険加入率 |
実施していない企業の IT関連保険加入率 |
全体平均 | |
|---|---|---|---|
| 経営リスクの分析 | 30.5% | 7.0% | 16.1% |
| リスク管理 担当役員の任命 |
33.0% | 7.9% | 15.2% |
| 役員間でリスクに 関する情報を共有 |
20.7% | 6.5% | 15.7% |
| ISMSの取得 | 39.0% | 8.9% | 15.5% |
経営リスクに関する組織的な対策を行っている企業は、行っていない企業と比較した場合、サイバー保険加入率がおよそ4倍。
日本国内のサイバー保険加入率は高いとは言えませんが、リスクの危険性を認識している企業こそ、サイバー保険に加入していることがわかります。
企業のリスク対策にはサイバー保険
経営リスクに関する警鐘に敏感な企業はたくさんありますが、サイバーリスクに関して言うと、対策が十分だと言える企業は多くありません。
実際に被害が起きてからでは遅く、早めの対策がリスク回避の近道となります。
特に最近では、大手企業と取引を行っている中小企業が、大手企業に対する攻撃の入り口として狙われることが多くなっています。
取引先が多い中小企業の方は、ぜひこの機会にセキュリティ対策について考えてみてはいかがでしょうか?
サイバー保険の加入を検討している企業は、この記事を参考にサイバー保険の概要を知り、導入を進めてみてください。
保険のプロの無料相談をご活用下さい。
当サイトでは、法人保険を扱う保険代理店と提携し、お忙しい経営者の方に向けて、法人保険の資料送付や、財務状況に合った最適な保険商品のご提案を無料で行っております。
- 法人向けの損害保険に加入したい
- 決算対策として最適な法人保険を検討したい
- 経営リスク・事業継承に備えたい
- 退職金を準備したい
忙しくて自分で法人保険をチェックする暇がない、どんな保険があるのか調べるのが面倒。そういった経営者の方に向け、法人保険や税の専門知識をもつ保険のプロが、本当に最適な保険を選ぶための力になります。
経営者の皆様の目的に合わせて、ニーズにあった最適な選択肢をご提案いたします。お問い合わせは無料ですので、ぜひご活用ください。
WEB問い合わせ(無料)※無料相談サービスは、法人保険を取り扱う保険代理店と提携して運営しております。
