デジタル

追跡!ネットアンダーグラウンド

「サイバー保険」って何?“万が一の備え”重要になっています

「サイバー保険」って何?“万が一の備え”重要になっています

2023.01.25

ロシアによるウクライナへの軍事侵攻など国際情勢が緊迫する中、サイバー攻撃のリスクが高まっています。

そこで重要なのが“万が一の備え”です。

いま、日本企業の間で利用が広がっている「サイバー保険」。

誕生から間もないこともあって、一般的にまだよく知られていないその実情に迫りました。

(サイバー安全保障 取材班)

サイバー保険って?

2022年10月末、大阪の病院がサイバー攻撃を受けて、電子カルテなどのシステム障害が発生し、一時、診療のほとんどの停止に追い込まれました。

通常の診療体制に戻すまでに2ヶ月以上かかるなど、深刻な事態となりました。

当日のニュース(2022年10月放送)

いま、サイバー攻撃によって市民生活や企業活動に深刻な影響を受ける被害が多数、発生しています。

「サイバー保険」は、文字どおり、こうしたサイバー攻撃にあった場合に備える保険です。

火事が起きた場合に建物や家財の損害が補償される火災保険のように、サイバー攻撃の被害を受けたときにかかる費用が支払われます。

ひとたび企業がサイバー攻撃を受ければ、原因の調査や顧客への損害賠償など、さまざまな対応が生じ、お金がかかります。

攻撃を受けて、事業が一時的にでも停止に追い込まれれば、生産や営業活動が止まることによって売り上げの減少にもつながります。

サイバー攻撃が身近な脅威となるなか、ITリスクのニーズから生まれた新たな種類の保険です。

「サイバー保険」各社のパンフレット

火災保険や自動車保険と比べて歴史は浅く、国内で普及が始まったのは2015年ごろです。

リスクの高まりによって市場は拡大し、今では損害保険の大手各社が取り扱っています。

具体的な補償内容は大手各社で共通しています。

サイバー保険 主な補償対象
▽原因調査
▽システムの復旧、データの復元
▽損害賠償

サイバー攻撃を受けた場合、まずは裏付けとなる証拠を見つけ出す調査が必要となります。

影響のあった範囲を特定する作業をセキュリティー企業に依頼し、ログの収集や証拠の保全、そしてシステムのバックアップやデータの復元にあたらないといけません。

その上で、事態の収拾に向け、場合によっては顧客への損害賠償や見舞金の支払いが生じることもあります。

サイバー保険はこれらの被害について、一定額が補償される仕組みです。

「サイバー保険」保険金が支払われたケース
ある製造メーカーでは、「Emotet」と呼ばれるコンピューターウイルスの被害を受けて、過去の取り引き先に毎日数万件のペースで不正なメールを送信され、数百台のPCが感染する被害にあいました。サイバー保険に入っていたため、原因と被害範囲の調査費用や再発防止費用など、被害で生じた損害の3500万円が保険金として戻ってきたといいます。

需要は増加の一途

サイバー保険の加入件数は各社で増え続けています。

このうち、業界最大手の東京海上日動は2015年にサイバー保険の提供を開始して以来毎年前年比で1.2倍程度の水準で伸びていましたが、2022年6月までの半年間では1.5倍と伸びのペースが上昇しています。

また、損保ジャパンでは2022年4月から6月までの時期で、前年の同じ月に比べて1.5倍、契約が増えたということです。

サイバー保険の動向に詳しいコンサルティング企業「東京海上ディーアール」の教学大介チーフコンサルタントは、取引先がサイバー攻撃を受けるなど、脅威を身近に感じることが加入件数の増加につながっていると分析しています。

「東京海上ディーアール」教学大介チーフコンサルタント
「日本のサイバー保険は認知度が低く、市場は欧米に比べても立ち上がりが遅かったが、自動車関連のメーカーの被害など大手企業がサイバー攻撃の被害にあうケースが増えてきて、『明日は我が身』という意識で拡大してきている。とりわけ大手企業だけではなく、サプライチェーンを構成する中小企業でも加入が増えてきているのが最近の傾向だ」

また、ここに来て契約のペースが上がっている背景には、2022年4月の個人情報保護法の改正も影響しています。

個人情報の漏洩が発生した場合、個人情報保護委員会への報告や被害者への通知が義務化されたことで、被害の範囲を特定させる必要が出たためです。

原因調査にかかる費用の負担に加えて、被害者からの賠償請求に備えることが厳密に求められるようになり、事前にサイバー保険に加入しておこうという企業が増えています。

どこまでの被害が補償対象?実は対象外も

年々加入件数が増えるサイバー保険ですが、すべてのサイバー攻撃をカバーするわけではありません。

たとえば、ランサムウエアと呼ばれる身代金要求型のコンピューターウイルス。

企業や組織などのサーバーに保管されたデータなどを暗号化し、アクセスできなくした上、暗号化の解除と引き換えに金銭を要求するサイバー攻撃のひとつで、最近、国内でも被害が相次いでいます。

しかし、大手各社の保険の場合、ランサムウエアによる被害で身代金を支払った場合、支払った金額は「対象外」となり、保険金はおりず、自己責任となります。

「戦争による被害」も対象外 ただ線引きの難しさも

また、戦争による被害も対象外となっています。

生命保険や火災保険などの一般的な保険商品では、被害の規模の想定が難しい戦争に伴う物理的な被害は補償されません。

サイバー保険も各社の免責事項には「戦争に伴う攻撃」は補償しないと規定されています。

ただ、ロシアによるウクライナへの軍事侵攻に代表されるように、インターネット上でのサイバー戦は激しさを増していき、サイバー空間での戦争行為が現実的な問題として立ちはだかるようになっています。

いざ「戦争に伴うサイバー攻撃」といっても、どこに戦争の線引きをするのか、どうやって国家による戦争行為だと特定するのかなど、多くの問題に直面してしまうのが実情です。

今後、免責事項に規定される戦争の対象が、どこまでに及ぶのか、サイバー保険の課題となりそうです。

一方で、国内で結んだ契約であっても、海外で被害を受けたケースが補償の対象になることもあります。

国内に本社があり、海外で事業を展開する企業は契約内容にオプションをつけることで、海外の子会社で損失があった場合も同じように補償の対象となります。

アメリカのサイバー保険 伸びの背景に「身代金要求型」

日本と同じくサイバー攻撃の脅威にさらされているアメリカでも、サイバー保険はここ数年、大きく伸びています。

NAIC=全米保険監督官協会によりますと、2021年、顧客が保険会社に支払ったサイバー保険の保険料は総額でおよそ65億ドル、日本円でおよそ8700億円※に達し、前の年と比べて、およそ6割増えました。(※1ドル134円で換算)。

サイバー保険が伸びる背景には、相次ぐサイバー攻撃、特にアメリカでも近年、被害が増えている「ランサムウエア」による攻撃です。

日本と異なり、アメリカには、ランサムウエアに特化した「ランサムウエア保険」も存在します。

その特徴は、被害にあって事業を続けることが一時的に困難になった場合、その補償やデータ回復にかかった費用のほか、企業が支払った身代金もカバーしてくれる点です。

新型コロナの感染拡大以降、リモートワークでオンライン化が進んだ一方、セキュリティー対策にコストをかけにくい中小規模の企業でランサムウエアの被害が増えました。

このため、保険会社としては保険料を高くして、支払いリスクに対応しようとしたこともサイバー保険料の伸びにつながっているのです。

アメリカでは保険加入の「条件」がより厳しく

サイバー保険料が上昇するなか、いま、アメリカで起きているのが、保険加入の際、顧客に求められる「条件」の厳格化です。

社内システムにログインするときの認証方法や、データのバックアップ方法など、セキュリティーに関わる体制が保険会社の求める基準を満たしていない場合は、保険料が高くなったり、場合によっては保険に加入できないこともあるとされています。

保険会社としては、サイバー攻撃の被害が増える中、「きちんとしたセキュリティー対策をとっている企業に限って保険に入ることができる」とすることで、少しでも保険金の支払いリスクを下げようというわけです。

ただ、専門知識を持った社員がいる大きな企業ならまだしも、中小企業や個人事業主では、厳しくなるサイバー保険への加入条件を自力で満たすのは簡単なことではありません。

顧客の企業が被害にあわないようコンサルティングも

こうした状況に着目して、リスクそのものを下げる新しいサービスも始まっています。

サンフランシスコに拠点がある保険会社「コアリション」は2021年から、サイバー保険に加えて、顧客のセキュリティー対策の現状を分析し、コンサルティングを行うサービスを始めています。

コアリションのホームページ

リスクが見つかった場合、リスクを下げるにはどのようにすればいいかアドバイスを行い対策を進めます。

さらに刻々と変化する最新のリスクに対応しようと、インターネットに接続された顧客のIT機器をリアルタイムで監視して、事故が起きる前に対策をとれるようにしているということです。

これにより、顧客がサイバー犯罪にあうリスクを低くして、顧客に補償の支払いをしなければならない状況を少なくしようという仕組みです。

企業側によりますと、顧客には、中小の企業や病院、個人事業主なども数多く含まれているということです。

会社の広報担当者は次のように話しています。

保険会社「コアリション」の広報担当者
「保険は、リスクを予測することで成り立っているが、ランサムウエアやフィッシングなど、デジタルの脅威は予測が難しい。このため、当社ではリアルタイムのデータを使ってリスクを見つけだし、リスクを低減するという新しいアプローチを採用している」

サイバー攻撃時のサポート機能も求められるように

サイバー攻撃による被害が深刻化する中、拡大するサイバー保険の市場。

専門家は保険の補償のカバー範囲が新しくなることは考えにくいものの、被害を受けた場合のサポートの領域はまだまだ拡大の余地があると指摘します。

「東京海上ディーアール」 教学大介チーフコンサルタント
「こんなにお金を払わないといけないなら保険に入っておこうという経済的な理由が、従来の保険商品のニーズだが、サイバー保険のニーズとしてサイバー攻撃を受けた時のサポート機能が求められるようになっている。保険の補償範囲では各社で差がつきづらいが、日頃からリスクを低減したり、何か起きたときのセキュリテイー企業の手配などインシデント対応をより充実させていくことがこれからも増えていくだろう。企業はセキュリティーにかけられる人手とお金が急に増えるわけではないので、補償だけではない部分を解決させていくような商品、サービスが増えていくとみている」

近い将来、企業同士が契約を結ぶ際、「あなたの会社はサイバー保険に入っていますか?」と確かめられるのが当たり前になるかもしれません。

ご意見・情報 お寄せください