需要が高まるサイバー保険、気になるその中身と今後の課題とは?
1. 増大するサイバーリスク、企業1社あたりの金銭的被害は年間2億円超え
日々巧妙化し、増加を続けるサイバー犯罪。企業がサイバー攻撃の被害に遭った場合、関係者や顧客への損害賠償やお詫び状、謝罪広告、補填費といった直接的な事故対応費用に加え、訴訟費用や被害に関わる調査費用など、企業が負担する費用は多岐にわたります。さらに調査のために業務を停止することによる利益損失も、企業にとっては大きな損害です。
2016年にトレンドマイクロが行った調査の結果、2015年中に深刻なセキュリティーインシデントを経験した企業の1社あたりの金銭的な被害は、年間平均で実に2億1050万円。また従業員5000人以上の企業に限定した場合、その額は4億5628万円まで膨れ上がっています[1]。さらに世界的なデータとして、McAfeeは2014年、全世界でサイバー犯罪による損害が年間4000億ドルに上ると推定しています[2]。
2. 世界で普及するサイバー保険。幅広い費用をカバー
セキュリティの向上に加え、こうしたサイバーリスクへの備えとして普及が進むのが「サイバー保険/サイバーリスク保険」と呼ばれる損害保険です。米国では1990年代後半から誕生し、サイバーインシデントの増加に伴い欧米諸国を中心に急速に普及しました。日本では2012年にAIU保険会社が、サイバー攻撃の被害を補償する保険を発売。3年後の2015年には、複数の損害保険会社が同様の保険の販売を開始しました。
例えば東京海上日動ではサイバーリスク保険として、ITサービスのユーザーがサービスの所有・使用・管理に起因して損害を受けた場合に補償する「ITユーザー事業者向け」、ITサービスの提供者が、同サービスの遂行または所有・使用・管理に起因して損害を受けた場合に補償する「IT開発業者向け」、また近年大手企業の被害が相次いでいる個人情報の漏えい被害に特化した「個人情報漏えい保険」の3種類を展開しています[4]。
保険会社と商品により、基本プランで補償される内容やオプションとなるものは異なりますが、多くは、被害者への通知や謝罪など事故対応にかかる直接的な費用から、損害賠償費用、サービスや業務を停止した期間に発生する喪失利益まで幅広く補償しています。また、事故調査や対応にあたる専門業者などの紹介や派遣といったサポートも提供されており、膨大な個人情報を取り扱う大手企業はもちろん、万が一に備えたい中小企業にも、今後普及が進んでいくことが予想されます。
3. さらなる普及に向けた課題
一方で、諸外国に比べサイバーインシデントの発生数が少ない日本では、まだ保険に対し高い意識を持たない企業が多いのも事実です。さらに同じ理由から、国内ではサイバーインシデントに関するデータが不足しており、実際にインシデントが発生した場合にどれくらいの被害が出るか、どこまで補償されるべきかなど試験的な段階でもあります。また補償内容が一律であるケースが多く、加入を検討する企業にとっても、自社のリスクと補償内容が見合うのか分かりにくいという課題もあります。
サイバー犯罪は巧妙化し、サイバーリスクは日々変化。情報セキュリティについて100%の安全性を確保するのは不可能と言える中、サイバー保険へのニーズは今後ますます高くなると考えられます。各保険の動向に注目しながら、企業は、自社に必要な補償を見極め適切な選択をしていくことが重要になりそうです。
(文/星野みゆき 画像/© pichetw – Fotolia)
参考:
[1] トレンドマイクロ. (2016). 『法人組織におけるセキュリティ実態調査-2016年版』から見えるものhttp://www.trendmicro.co.jp/jp/trendpark/coretech-threatintelligence/201611-3/20161130011510.html [2] McAfee. (2014). Net Losses:Estimating the Global Cost of Cybercrime
https://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime2.pdf [3] ニッセイ基礎研究所. (2016). サイバーリスク保険の普及-サイバーリスクは、保険でどこまでカバーできるのか?
http://www.nli-research.co.jp/report/detail/id=53844&pno=1?site=nli [4] 東京海上日動. (2017). サイバーリスク保険
https://www.tmn-cyber.jp
