最近、サイバー攻撃や情報漏えいに関するニュースなど、ITにまつわる事件や訴訟を目にする機会が増えています。
一見他人事のように思える出来事でも、ウイルスによる顧客情報漏えい・サイバー攻撃によるデータ盗難など、ITトラブルのリスクはあらゆるIT企業に常に付きまとっています。
多くのものがネットワークでつながる現在、ひとたびトラブルが起これば被害が連鎖し、影響範囲が広がる場合もあります。
取引先に多大な損害を与えてしまった場合、損害賠償を請求される金額が大きくなることもあります。
損害の内容や規模によっては、資金繰りや取引継続に影響が出る場合もあるため、あらかじめ備えの選択肢を持っておくことが大切です。
そこで本記事では、IT業務賠償責任保険の基本と、保険を選ぶ際のポイントを解説します。
IT業務賠償責任保険とは?
IT業務賠償責任保険とは、IT関係の業務に関する損害賠償リスクに備えるための保険です。一般的に「IT保険」などと呼ばれることもあります。
なお、保険会社によって商品名や設計は異なり、サイバーリスク保険や賠償責任保険に特約を付けて備える形もあります。
IT業務賠償責任保険に加入できるのは、IT関連事業会社及びその子会社、また、IT関連事業会社で働く従業員です。派遣社員も加入できる保険商品もあります。
システム開発及び保守・管理をしているシステムベンダー、ネットプロバイダー業者、インターネットコンテンツ配信サービス企業、ITコンサルティング企業など、保険会社が挙げている条件に当てはまっている業者であれば、IT業務賠償責任保険の対象となります。
現代社会においてIT企業が担っている役割は非常に大きく、インターネットを介することなくビジネスを展開するのは難しい時代です。
それに伴い、ネットワーク事業及び情報システムを手掛ける事業者では、ウイルス感染、顧客データの紛失もしくは流出、サイバー攻撃、管理委託されたネットワークのエラーなど、さまざまな責任を問われるケースが増えています。
取扱い窓口は保険会社だけでなく、保険代理店など複数あります。見積りを取る際は、補償範囲、免責、事故対応の流れをセットで確認しましょう。
IT企業を取り巻く事業リスクと事故例
IT業務賠償責任保険は、保険商品にもよりますが、IT事業や関連業務で起こりうるリスクに広く備えることができます。
IT業務賠償責任保険によって、どのようなリスクに備えられるのか、例を挙げてみましょう。
| ケース | 具体例 |
|---|---|
| サイバー攻撃 | クライアントに納品したデータ管理システムで、 外部からの不正アクセスにより顧客データが流出。 クライアントから損害賠償責任を問われた。 |
| 不正アクセス | 自社のネットワーク上で不正アクセス対策が不十分だったため、顧客情報が流出。 顧客から苦情が殺到した。 |
| ソフトウェアのバグ | クライアントからデータ管理システムの開発を受託し、納品したシステムの欠陥によりデータ消失。 クライアントから損害賠償請求を受けた。 |
| ウイルス対策 | 自社のウイルス対策が不十分だったため、 自社の顧客に悪質なスパムメールを送ってしまった。 |
| 通信回路の切断 | インターネットプロバイダ企業が提供していたレンタルサーバーの不具合により、 顧客企業が運営する通販サイトが機能せず、 大きく売上減少。 プロバイダ企業は損害賠償責任を問われた。 |
上記のように、IT関連事業会社が自らの過失によって第三者に損害を与え、損害賠償責任を問われてしまった際、IT業務賠償責任保険によって負担を軽減できる場合があります。
想定事例:高額賠償につながりやすいケース
どれだけ綿密にバグを除去・修正し、品質管理を徹底したとしても、製品トラブルが起こってしまうのがIT業界です。
さきほど挙げたように、IT業務の遂行は常にリスクと隣り合わせであり、事故対応や賠償にかかる負担が大きくなる場合があります。
ここでは、補償対象になり得るトラブルを想定したシナリオを紹介します。
想定事例1:委託先の情報漏えいが連鎖し、通知・調査・見舞対応が膨らんだ
SaaSを提供するA社は、顧客向けのログ分析と障害監視の一部を外部の運用会社B社へ委託。ある日、B社の管理用アカウントが第三者に不正利用され、A社が保有する顧客データベースへのアクセスが発生しました。
漏えいの疑いが生じたのは、氏名・メールアドレス・契約情報に加えて、取引履歴や一部の認証情報(再設定に使われる情報を含む)など。A社は調査のためにフォレンジック会社へ依頼し、影響範囲の特定とログ解析、原因究明、再発防止策の策定を進めることになりました。
同時に、顧客企業への説明と謝罪、個人情報保護の観点での通知対応、問い合わせ窓口の増設、コールセンター運営、見舞金・クーポン等の対応が必要になり、短期間で費用が積み上がります。
さらに、顧客企業の一部からは「自社の顧客情報が漏えいした」「再発防止が不十分です」として、損害賠償と契約解除、代替システムへの移行費用の請求を受け、A社は賠償責任をめぐる交渉・訴訟対応も迫られました。
想定事例2:システム障害で決済・出荷が止まり、逸失利益と追加費用が発生した
EC事業者C社は、決済・在庫・配送連携を含む基幹システムをシステム開発会社D社へ委託していました。リリース直後、特定の条件で処理が詰まる不具合が顕在化し、注文処理が滞留して決済が通らない状態が発生しました。
復旧作業の過程でデータ整合性が崩れ、在庫数と出荷指示が一致しない事象が連鎖した結果、C社は数日間にわたって受注・出荷を制限。これにより、売上機会の損失(逸失利益)が発生したほか、顧客への返金・ポイント付与、配送遅延の補填、臨時の人員投入、コールセンター強化など追加費用が増大します。
C社は、障害対応に伴う社内負担も含めて損害を算定し、「設計・テストが不十分でした」「障害時の切り戻し手順が整っていませんでした」としてD社に損害賠償を請求。D社側でも、原因調査・外部専門家の起用・弁護士対応などの費用が発生し、賠償責任と事故対応費用が同時に重くなる形となりました。
具体的な保険商品(例)
ここからは、法人向けに案内されている代表的な選択肢を例として紹介します。
※補償の範囲、支払限度額、免責、特約の有無は商品・契約条件で変わります。必ずパンフレットや約款、見積書で確認しましょう。
東京海上日動「サイバーリスク」保険
東京海上日動「サイバーリスク保険」は、サイバー攻撃や情報漏えい、システム障害に起因する損害賠償責任に加え、原因調査・復旧・再発防止など事故対応に必要な費用を幅広くカバーする設計です。
特長として、事故発生時の緊急時ホットラインなど、初動から実務支援を受けられる体制が用意されています。社内に専門人材が少ない企業でも、対応の入口を確保しやすい点がポイントです。
日新火災「サイバー・情報漏えい保険」
日新火災「サイバー・情報漏えい保険」は、情報漏えい・不正アクセス・マルウェア感染・DDoSなどを想定し、賠償と事故対応費用をカバーする設計となっています。
この商品の特徴は、「攻撃の疑い」段階での調査費用に手当てがある点です(条件・限度額あり)。外部からの指摘を受け、早期にフォレンジック調査へ動きやすい構成になっています。
三井住友海上「サイバープロテクター」
三井住友海上「サイバープロテクター」は、外部攻撃だけでなく、メール誤送信・端末紛失・設定ミスなど内部起因の事故まで視野に入れた設計が特徴です。
専用窓口や専門家ネットワークを通じて、初動から復旧までの支援を受けられる構成が用意されています。プランにより、業務中断(利益損失)を含める設計も選択できます。
あいおいニッセイ同和損保「サイバーセキュリティ保険」
あいおいニッセイ同和損保「サイバーセキュリティ保険」は、サイバー攻撃や不正アクセス等による賠償損害と、原因調査・通知・コールセンター対応・復旧・再発防止などの費用損害をベースに備えられます。
また、必要に応じて利益損害や不正送金などの資金損害を特約で追加でき、広範囲の補償を組み立てやすい点がメリットです。
損保ジャパン「サイバー保険」
損保ジャパン「サイバー保険」は、サイバー攻撃・情報漏えい・ランサムウェア等を想定し、損害賠償責任と事故対応費用を中心に備える設計です。
初動対応、原因・被害範囲の調査、復旧、通知・見舞対応、訴訟対応、再発防止支援など、事故対応の流れに沿った支援体制が用意されています。業種別プラン等の枠組みがある場合もあります。
AIG損保「CyberEdge」
AIG損保「CyberEdge」は、情報漏えいの賠償・調査費用に加え、設計次第でサービス停止に伴う賠償、ランサムウェア等による事業中断(利益損失)、サイバー犯罪による経済損失(不正送金等)まで含めやすい、包括型の設計をしています。
海外取引や海外での賠償請求リスクにも強く、グローバル展開をしている企業にとって有力な選択肢となります。
共栄火災「サイバーリスク保険」
共栄火災「サイバーリスク保険」は、サイバー事故に伴う情報漏えいや不正アクセス、サイバー攻撃に起因する賠償と事故対応費用を補償しています。
ワイドプランでは、ネットワークの停止による利益損害や営業継続費用もカバー可能で、必要な補償範囲を選びやすい設計が特徴です。
Chubb保険「Cyber Pro v2 / Cyber Pro Ignite」
Chubb保険「Cyber Pro v2 / Cyber Pro Ignite」は、情報漏えい・不正アクセス・ランサムウェア・ネットワーク障害などを対象に、第三者への賠償責任だけでなく、事故対応費用やデータ復旧、事業中断損失、サイバー犯罪による金銭被害まで幅広く備える設計が可能です。
企業規模に応じてモデルが分かれており、中小企業向けは導入しやすさと補償のバランスを取りやすい点が特徴です。
IT業務賠償責任保険の支払い対象にならないケース
IT業務賠償責任保険は、すべての損害を補償してくれるわけではありません。なかには、保険金支払いの対象とならないケースもあるので、注意が必要です。
ここでは、保険金が支払われないケースの例をご紹介していきます。
保険金が支払われないケースは、主に被保険者の故意によるものや、損害賠償責任に問われると知っていたにも関わらず行為を行った場合、また、他人の権利を侵害した場合などです。
- 保険契約者及び被保険者が故意に損害を起こした場合
- 保険期間開始以前に発生した事由によって賠償請求を受ける可能性があることを、保険契約者が保険期間開始時に認識していた場合
- 被保険者が窃盗、横領、背任行為等犯罪行為をおこなった場合
- 被保険者が他人に損害を与えることや法律違反であることを認識していた場合
- 通常行うべきテストをしていないプログラムもしくはソフトウェアの瑕疵が原因で事故が生じた場合
- 被保険者の業務履行不能もしくは履行遅滞によって生じた賠償責任。※1
- 他人の身体障害、財産紛失、損壊、詐取及び盗取への損害賠償
- 商標権及び特許権等、知的財産権の侵害。※2
※2.ネットワーク上で提供されているデータベース、電子データ、コンピュータプログラムまたはソフトウェアによって生じる著作権の侵害を除く。
自然災害に起因する場合や、国外の裁判所から提起された賠償責任についても、対象外となることがあります。
- 戦争や変乱、暴動、騒擾、労働争議などが原因の場合
- 地震や噴火、津波、洪水、高潮など自然災害が原因の場合
- 日本国外の裁判所にて損害賠償請求訴訟が提起された場合
ただし、国外の訴訟については、保険商品によって海外でなされた損害賠償請求に関しても補償するものがあります。
海外の事故も含まれるかどうかについては、加入時に担当者へ確認するようにしましょう。
IT業務被害を最小限で食い止めよう
ここまでIT業務賠償責任保険の基本的な補償内容と、保険を選ぶ際のポイントを紹介してきましたが、いかがでしたか?
IT業務の事業リスクを抑えるには、セキュリティ対策を進めるだけでなく、万一の事故に備えた補償体制も整えておくことが大切です。
実際に損害が発生すると、事故対応や信用回復のコストが重なり、会社の運営に影響が出る場合もあります。
業務のデジタル化が進むなかで、IT業務の範囲は広がり続けています。サイバー攻撃の手口も変化しているため、リスクに合わせた備えを選ぶことが重要です。
危機管理の手段の一つとして、IT業務賠償責任保険を選択肢に入れてみてはいかがでしょうか?
法人保険比較.netの
専門家マッチングサービス
- 法人保険を経営に活用したい
- いま加入している保険を見直したい
- 退職金制度や福利厚生を導入したい
- 事業承継や相続について考えたい
- 税金対策や財務戦略を相談したい
法人領域を専門とするコンサルタントが、業界の傾向や各種法規も踏まえて
"無料"で貴社に最適な保険プランを提案します。
