米国で普及が進むサイバー保険、日本の加入実態は?
1.米国では半数以上の事業者が加入するサイバー保険
情報セキュリティに関するインシデントが発生した場合、一企業の被害総額の平均は2億円を超えると言われています。大手企業にいたっては、被害はその倍以上になるとのデータも[1]。サイバー攻撃は次々と新しい手法が現れパターンを予測するのが難しく、100%の安全は不可能といえる中、被害を最小限にとどめるための対策の一つとして、サイバー保険が注目されています。
世界で最初にサイバー保険が発売されたのは、20年前の1997年。米国でAIGが最初のサイバー保険の取り扱いを開始しました。その後、サイバーリスクの増加とともに市場は拡大し続け、現在では多くの保険会社がサイバー関連保険を取り扱っています。
さらに米国では証券取引委員会のコンプライアンス検査局が、サイバーリスク戦略の一環として、企業に対しサイバー保険への加入を推奨しているという後押しもあり、半数以上の企業がサイバー関連保険に加入[2]。2016年の市場規模は前年より35%増の1350億ドル(約14.8兆円)になっています[3]。
2.日本国内では、情報セキュリティへの意識が高いほど加入
それでは日本では現在、どれくらいの企業がサイバー保険に加入しているのでしょうか。2015年に情報処理推進機構(IPA)が、大企業・中堅企業・中小企業の経営者またはリスク管理・IT担当責任者1,773名を対象に行った調査の結果を発表。これによると、サイバー保険(「サイバー攻撃に関する保険」「情報漏えいに関する保険」「コンピュータ故障に関する保険」)に加入していると回答したのは14.6%でした。米国に比べまだ低い数値ですが、加入者の特徴を見てみると興味深い結果が。「経営リスクの分析を行っているか」を基準にサイバー保険の加入率を比較すると、「行っていない」と回答した回答者の加入率が7%だったのに対し、「行っている」という回答をした回答者では加入率が30%以上という結果になりました。また「リスク管理の担当役員を任命している」かどうかという質問では、「していない」という回答者のサイバー保険への加入率は約8%。これに対し、「任命している」と回答した回答者では、4倍以上の33%がサイバー保険に加入していることが分かりました。
その他「厳格な管理を求められる機密情報を保持している」「リスク管理について経営者・役員の間で共有している」「ISMS(情報セキュリティマネジメントシステム)を取得している」「プライバシーマークを取得している」などの項目において、同様の傾向が見られ、情報セキュリティに対する意識が高く、経営層も関与している率が高いほど、サイバー保険への加入率が高いことが明らかになっています。
世界中でサイバー攻撃が悪質・巧妙化する中で、国内損保会社でも企業向けサイバー保険の新商品を相次いで発売しています。サイバー攻撃自体を防ぐ施策ではないものの、インシデント発生時にビジネスを迅速に正常化させる施策として、今後ますます普及するものと予測されます。
(文/星野みゆき 画像/© Elnur – Fotolia)
参考:
[1] トレンドマイクロ. (2016). 『法人組織におけるセキュリティ実態調査-2016年版』から見えるものhttp://www.trendmicro.co.jp/jp/trendpark/coretech-threatintelligence/201611-3/20161130011510.html [2] PwC. (2016). Business Leaders Gaining on Cybersecurity Risks
https://www.pwc.com/us/en/press-releases/2015/global-state-of-information-security-survey-2016.html [3] B, D. Brown. (2014). The Ever-Evolving Nature of Cyber Coverage. INSURANCE JOURNAL
http://www.insurancejournal.com/magazines/features/2014/09/22/340633.htm [4] 情報処理推進機構(IPA). (2015). 「企業におけるサイバーリスク管理の実態調査2015」報告書について
https://www.ipa.go.jp/security/fy27/reports/cyber-ins/index.html