サイバーセキュリティ保険とは?加入の必要性・メリット・注意点

国内ではまだまだ加入率が低いと言われている「サイバーセキュリティ保険」ですが、あなたの会社ではもう加入していますか?もしくは加入を検討したことがありますか?

サイバー攻撃の脅威が増すなか、企業はセキュリティ対策を一層強化しなくてはなりません。しかし、攻撃の手法は日々多様化し、進化していて、どんなに対策を講じても万全とは言えません。私たちは、日頃の対策に加え、万が一のセキュリティ事故を想定したさらなる準備を進めておく必要があります。

サイバーセキュリティ保険は、ランサムウェアやデータ漏えいといったセキュリティ事故が発生した場合に、組織を立ち直らせるのに役立つものとして注目を集めています。事故発生時のビジネス中断を最小限に抑えるために経済的な支援を受けられるだけでなく、事故発生後の法的措置にも役立つ可能性があります。

一方で、ほかの保険と同様、補償に含まれない内容もあるので、加入後に「期待していた補償と違う」といった事態にならないよう、事前によく調べておくことが必要です。

この記事では、サイバーセキュリティ保険の概要、加入の必要性やメリットをご紹介するとともに、今まさに加入を検討している企業の皆様に、加入前に知っておくべきことや注意点などをご説明します。

読み終わったときには、まず自社のセキュリティ状況の見直しや強固な対策が必要であることが理解でき、その上でサイバーセキュリティ保険に加入すべきかどうかを判断できるようになっているはずです。

1.サイバーセキュリティ保険とは

サイバーセキュリティ保険とは、事業活動を取り巻くサイバーリスクに起因して発生した様々な損害に対応し、第三者への損害賠償責任や、復旧費用、喪失した利益などを補償する保険です。

企業がなんらかのサイバー攻撃を受けると、
情報漏えい
・システムダウン
・データ消失/改ざん
などのセキュリティ事故が発生します。

その結果、
・顧客や取引先からの取引停止や損害賠償請求
・社会的信頼の低下による売上の減少
・原因や影響の調査、様々な事故対応費用の支払い 
などが発生し、場合によっては巨額の損害に直面する恐れもあります。
サイバーセキュリティ保険に加入すると、こうした損害に備えることができます。

サイバー攻撃発生から事故対応までの流れ

火災保険や地震特約保険など、古くからあるほかの保険商品に比べ、サイバーセキュリティ保険は歴史の浅い商品です。国内への参入は、外資系のAIU損害保険が2012年12月、国内損保大手の東京海上日動火災保険は2015年2月でした。まだまだ若い保険商品なのです。

2.サイバーセキュリティ保険の必要性

サイバーセキュリティ保険が必要となる主な要因は2つあります。

サイバーセキュリティ保険はなぜ必要なのかを詳しくみていきましょう。

2-1. 社会的影響の大きいサイバーリスクが多発し、いつ被害に遭ってもおかしくない 

昨今の企業を取り巻く代表的なサイバーリスクには、
ランサムウェア攻撃
・標的型攻撃
・サプライチェーンの弱点を悪用した攻撃
などがあげられます。

なかでも特にランサムウェア攻撃による被害は、2021 年に社会的影響が大きかった情報セキュリティ脅威を示す「情報セキュリティ10大脅威 2022」のトップに位置付けられるほどで、もはや他人事ではない状況になっていると言えるでしょう。

情報セキュリティ10大脅威 2022出典:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2022

ランサムウェアの被害状況
Arcserveが2022年6月に実施したグローバル調査では、対象企業の約半数がランサムウェア攻撃に遭ったことがあると回答しています。

 <グローバル調査>・半数がランサムウェアの攻撃対象になったことがある
ランサムウェア被害に関するグローバル調査 Arcserveランサムウェア被害に関する調査結果より

国内で2022年6月に行ったアンケートでも同様に、約半数がランサムウェアに感染した経験があるという回答が得られ、そのうち約20%しか、データを復旧できなかったという状況が明らかになりました。

<国内での調査>
・45%がランサムウェアの感染を経験している 
・感染後に復旧できたのはわずか20%弱

アンケート調査から見える日本でもランサムウェアの攻撃力

2-2. サイバー攻撃を受けると利益損害が発生する

ランサムウェアに代表される様々なサイバー攻撃を受けると、システムが利用できなくなったり、データが盗まれたり、改ざんされるだけでなく、取引先など外部へ被害を広げてしまう恐れがあります。その結果、様々な利益損害が発生してしまいます。

ここでは、サイバー攻撃によって発生する一次被害や、その後に起こる二次被害についてご紹介します。

2-2-1. サイバー攻撃によって発生する一次被害の例

サイバー攻撃の一次被害によって、事業が停止し、大きなダメージを被ることがあります。
たとえば、
 データが暗号化され、システムが止まる
☛ 個人情報や機密情報が盗まれる
 データが破壊される・改ざんされる
 別のパソコンを攻撃するための踏み台として利用される
といった被害です。

2-2-2. サイバー攻撃によって発生する二次被害の例

さらに、二次被害として様々な利益損害が発生することも多々あります。

 システムが止まることにより、本来得られるはずだった利益が得られない
サイバー攻撃を受けると、システムが止まり、業務に重大な影響を与える場合があります。たとえば消費者向け商品を販売しているECサイトやチケットサイトがシステム停止すると、たちまち販売が不可能になります。

 社会的信頼を損ない、一時的または長期的に売上が減少する
サイバー攻撃を受けたことで、被害者であるにもかかわらず社会的信頼を損なう結果にもなりかねません。一時的または長期的な売上減少などの損害を被る可能性があります。

  顧客情報や取引先の機密情報の流出により、顧客から損害賠償を請求される
場合によっては、顧客や取引先から損害賠償を請求されることも十分ありえます。 

 取引先から取引を停止され、業績に影響を与える
多くの企業が関わる取引において、一部の企業のセキュリティ脆弱性をついてサイバー攻撃を受けると、サプライチェーン全体に影響を及ぼす可能性があります。セキュリティ対策が不十分だった場合、取引を停止されることにもなりかねません。

3.サイバーセキュリティ保険加入のメリット

サイバー被害のリスクが日々高まる中、サイバーセキュリティ保険に加入しておくことは、ほかの保険と同様、ある一定の安心を購入することだと言えるでしょう。企業にとって十分意味のあることではないでしょうか。

サイバーセキュリティ保険への加入で得られるメリットは、主に3点です。

それぞれのメリットを見ていきましょう。

3-1. 補償範囲が広く、安心できる

サイバーセキュリティ保険で補償される内容には、主に「損害賠償責任」「事故対応費用」「利益損害・営業継続費用」が含まれます。(※補償内容は、保険会社やプランによって異なります)

損害賠償責任
被保険者(補償の対象者)が法律上負担する損害賠償金や、訴訟等で発生する損害を補償します。

(例)情報漏えいによって顧客の口座から現金が引き出され、賠償請求された。

事故対応費用
セキュリティ事故に起因して一定期間内に生じた各種費用を補償します。

(例)
・事故原因の調査費用
・問い合わせ対応のためのコールセンター設置費用
・状況説明や謝罪のための記者会見費用
・被害者への見舞金の支払い
・弁護士への法律相談費用
・再発防止策の策定のための費用

 などの費用が補償されます。

利益損害・営業継続費用
サイバー攻撃を受けたことでネットワークを構成するコンピュータシステム等の機能が停止し、それによって生じた利益損害(本来得られるはずだった利益の喪失や収益減少)を防止するための費用や、営業継続のための費用を補償します。

(例)
・製造工場のシステムがマルウェア感染によって機能しなくなり、復旧のためネットワークから隔離し、システムをシャットダウンすることに。復旧までの期間、営業利益を損失した。
・ECサイトがDDoS攻撃によりダウン。データやシステムの復旧までに数日かかり、その間の営業利益を
損失した。

3-2. サイバー攻撃のリスク診断を受けられる

サイバーセキュリティ保険では、事前にリスク診断を受け、自社のセキュリティ脆弱性を把握することができます。
サイバーセキュリティのリスク診断 ※リスク診断には、保険加入前の簡易無償診断もあります

3-3. セキュリティ対策の改善に役立つ

サイバーセキュリティ保険には、加入に際して厳しい基準が設けられています。

逆に言えば、安全な構成管理やハードウェア/ソフトウェアの資産管理、管理者権限の明確な付与といった、保険会社が提示する基準に従うことで、企業がセキュリティ対策を整備、改善するのにも役立ちます。

4.サイバーセキュリティ保険の加入状況

いざという時頼りになるのが保険ですが、企業のサイバーセキュリティ保険への加入は進んでいるのでしょうか。

実は、サイバーセキュリティ保険加入を検討している企業は年々増えてはいるものの、実際に加入している企業は全体のわずか7.8%にすぎません。これは、一般社団法人 日本損害保険協会*が行った「国内企業のサイバーリスク意識・対策実態調査2020」によって明らかになった数字です。

サイバーセキュリティ保険の加入状況

加入が進まない背景には、サイバーセキュリティ保険の認知度の低さが考えられます。
認知度の低さを裏付けるのが、日本損害保険協会が2021年に行った「中小企業のリスク意識・対策実態調査2021 調査結果報告書」の企業向け損害保険の認知度に関する調査結果です。

 火災保険、地震補償特約、傷害保険といった損害保険については80-90%と高い認知度ですが、サイバー保険については知っている人は36.6%にすぎません。

「中小企業のリスク意識・対策実態調査2021 調査結果報告書」の企業向け損害保険の認知度に関する調査結果

*一般社団法人 日本損害保険協会:損害保険代理店を会員とする団体で、代理店に対する教育・研修、代理店の制度・業務に関する調査・研究および提言、損害保険の普及に関する啓発・宣伝、社会貢献活動等を行っている。

 また、
「保険会社のサイトをみても保険料が掲載されていないので、よくわからない」
「補償される金額がわからない」
という声をよく聞きます。

認知度の低さに加え、保険料金や補償額の不透明さも加入率の低さにつながっているのかもしれません。

また、「うちの会社は小さいから狙われないだろう」
と考える中小企業も多く存在します。

しかし、サイバー攻撃で狙われるのは、大手企業だけではありません。セキュリティが比較的脆弱な中小企業のシステムを踏み台にして、サプライチェーン全体に被害を及ぼすようなケースも、実際に出てきています。

サイバーリスクは他人事ではありません。しっかりと対策を講じるとともに、サイバーセキュリティ保険についても調査・検討してみてはいかがでしょうか。

5.サイバーセキュリティ保険への加入を検討すべき企業

さて、前述のようにサイバー事故を他人事としてとらえている企業が多い一方、サイバーセキュリティ保険への加入を検討すべきなのは、主に、事業がITシステムに依存している企業、個人情報や機密情報を取り扱っている企業です。

サイバーセキュリティ保険への加入を検討すべき企業

中でもサイバー攻撃を受けた場合に被害が広範囲に及び、社会的な影響が大きくなることが想定される企業や組織は、規模の大小にかかわらず、セキュリティ対策を見直すと同時に、サイバーセキュリティ保険への加入を検討すべきだと言えます。

たとえば、
・金融機関
・医療機関
・教育機関
・自治体
・クレジットカード情報を取り扱うECサイト
・グローバルなサプライチェーンの一角を担う企業
などがこれに該当します。

6.サイバーセキュリティ保険加入時の注意点

サイバーセキュリティ保険加入時に注意すべき点は、2つあります。

サイバーセキュリティ保険加入時の注意点

6-1. 保険料/保険金は企業によって異なる

まず、サイバーセキュリティ保険の保険料は、企業によって異なります。たとえば、以下の要素をもとに算出されるのが一般的です。(保険会社によって算出方法は異なります)

  • 売上高
  • 業種・業務内容
  • 補償内容(補償範囲・保険金の支払限度額・免責金額)
  • セキュリティ対策の状況
  • 過去のセキュリティ事故
  • プライバシーマークやISMS(情報セキュリティマネジメントシステム)など、第三者認証取得の有無

 毎月の保険料が数十万円~数百万円と幅広いのは、こういう理由です。

つまり、セキュリティ対策が実施されていて過去にセキュリティ事故にあったことがない、さらには第三者認証を取得しているなど、自社で十分な努力をしていることが、サイバーセキュリティ保険加入の条件であり、保険料を低く抑えるコツなのです。

 また保険金は、契約した支払限度額が上限となりますが、実際の損害額と同じ額が支払われるのが一般的です。数千万円から数億円の保険金が支払われた事例があります。

 なお、サイバーセキュリティ保険に加入する際は、一般的な保険と同様、告知事項申込書を提出する必要があります。告知事項申込書を提出すると、保険会社による審査が行われ、契約の可否および保険料・補償金額などの条件が提示されます。企業と保険会社の双方がこの条件に合意すると契約が成立します。

 保険料も補償金額も高額なため、保険会社による審査は厳密に行われます。告知事項も正確に記入する必要があり、「お答えいただいた内容が事実と異なる場合や告知事項について事実を記載しない場合は、ご契約を解除し、保険金をお支払いできないことがあります。」と明記されています。

<告知事項申込書サンプル>

告知事項申込書サンプル

6-2. 補償されない内容もある

サイバーセキュリティ保険には、補償の対象外となるセキュリティ事故もありますので、注意が必要です。

 ・ランサムウェアに感染してデータを暗号化され、その解除のために身代金を支払った場合は、残念ながらその分の損害は補償の対象外となります。

 ・ビジネスメール詐欺に遭い、加害者の口座に金銭を振り込んだ場合も、サイバーセキュリティ保険の補償は適用されません。

まとめ

この記事の骨子をまとめます。

サイバーセキュリティ保険とは
事業活動を取り巻くサイバーリスクに起因して発生した様々な損害に対応し、第三者への損害賠償責任や、復旧費用、喪失した利益などを補償する保険です。

サイバーセキュリティ保険が必要な理由
・社会的影響の大きいサイバーリスクが多発し、いつ被害にあってもおかしくない
・サイバー攻撃を受けると利益損害が大きい
の2点です。

サイバーセキュリティ保険のメリット
一番の直接的なメリットは、補償範囲が広く、安心できることです。
しかし、加入に際してサイバー攻撃のリスク診断を受けられること、セキュリティ対策の改善に役立つことは、企業にとってよい結果をもたらす、もっとも大きいメリットだと言えます。

サイバーセキュリティ保険への加入を検討すべき企業
・事業のITシステムへの依存度が高い企業
・個人情報や機密情報を取り扱っている企業

サイバーセキュリティ保険加入時の注意点
・保険料・保険金は企業によって異なる
・補償されない内容もある

セキュリティ対策というと、どうしてもアンチウィルスソフトの導入や重要情報へのアクセス制限、情報機器の管理といったことばかりに注目しがちですが、サイバーセキュリティ保険に加入するための告知申請書には、「ウィルス感染等の情報セキュリティ事故やシステム障害に備えて、パソコンやサーバーに保存されている重要なデータのバックアップを取得していますか」という設問もあります。バックアップをきちんと取っていないと、サイバーセキュリティ保険に加入したくてもできない可能性があるので、ご注意ください。

重要なのは、日頃からバックアップを含むセキュリティ対策を十分に講じておき、保険に依存しない体制づくりを進めることです。その上でさらに万全を期すためにサイバーセキュリティ保険への加入を検討するのが安心への近道なのです。

★以下のブログもご参照ください。
セキュリティ事故を防ぐ!7つの事例から理解する効果的な3つの対策

コメント

ダウンロードして、その実力を実際にお試しください。当社の高性能で革新的な製品およびソリューションで、IT管理におけるリスクと複雑さを低減しましょう。
無償トライアルを試す
無償トライアルを試す