サイバー被害対策の1つとして注目される「サイバーリスク保険」。その開発担当者が、企業が直面するリスクや改正個人情報保護法が企業に与える影響、保険会社のソリューションを活用した効果的なサイバーリスク対策を紹介した。
アイティメディアが主催するライブ配信セミナー「ITmedia Security Week 2022 春」の基調講演に、東京海上日動火災保険 企業商品業務部 サイバー室 専門次長である教学大介氏が登場。「令和2年改正個人情報保護法に備える! 損害保険会社を活用した効率的なサイバー対応力の高め方」をテーマに講演した。
「2015年2月に大手国内損害保険会社で初めて“サイバーリスク保険”の提供を開始したのですが、当時はほとんど利用されませんでした。特に中小企業では、サイバーリスク保険は不要と言われていました。しかし、サイバーリスクに関するニュースを聞かない日はない現在、サイバーリスク保険を利用してもらえる機会が少しずつ増えてきています」と教学氏は話す。
2016年に情報処理推進機構(IPA)が実施したサイバー攻撃に関するアンケート調査によると、被害にあった中小企業は1%程度だった。この調査結果は中小企業の真の実態を表しているのかという疑問から、2018年5月に大阪商工会議所、および神戸大学の協力のもと、中小企業30社を対象としたサイバー攻撃の実態を調査、分析した経緯にあり、結果、調査した中小企業30社全てで何らかの攻撃を受けた痕跡が見つかった。
多くの企業がサイバー攻撃に気が付きようがなかったのは、サイバー攻撃が非常に巧妙になったことや、攻撃者側でも痕跡を消していることが要因である。一方、昨今は以下にあげる要因等により、自社のリスクを認識する可能性が高くなっている。
(1)ランサムウェアなどの目に見える攻撃の激化
(2)大企業など意識の高い取引先や顧客からの通報
(3)企業向けセキュリティ対策ツールの普及・浸透
「サイバー攻撃対策には、さまざまな手段がありますが、損害保険会社グループならではの強みである、“損害保険×ソリューション”を活用することで、効率的かつ効果的なサイバーリスク対策が可能になります。お客さまのリスクを低減する目的で、損害保険会社のサイバーリスク保険やソリューションを有効活用してほしいと思っています」(教学氏)
サイバーリスク保険は、自社がサイバー攻撃を受けた場合に、取引先等の第三者への損害賠償を補償する「損害賠償責任に関する補償」、サイバー攻撃の対応にかかる費用を補償する「サイバーセキュリティ事故対応費用に関する補償」、サイバー攻撃を受けて事業が止まった場合の逸失利益等を補償する「ネットワーク中断に関する補償」(オプション契約)の3つの補償で構成されている。
「最近、サイバーリスク保険に対する問い合わせが増えていますが、注目されている理由は、もはやサイバー攻撃は完全に防ぐことが難しいからです。セキュリティ対策は、もちろんお金をかければリスクは下がりますが、完全にゼロにするのは困難です。一定のリスクが残ってしまう以上、リスクを損害保険会社に転嫁しようという考えです。リスクマネジメントの一環として、サイバーリスク保険を活用する企業が増えています」(教学氏)
NRIセキュアテクノロジーズの2020年度の情報セキュリティの実態調査では、約18%の日本企業がサイバーリスク保険に加入しているとの調査結果が報告されている。一方、欧米では、6〜7割の企業が加入している。サイバーリスク保険に加入することで、フォレンジック調査の費用捻出のための社内稟議の手間が省け、またセキュリティベンダー側の与信も不要となり、スピード感をもって初動対応を開始することが可能になるという効能もある。
また最近グローバル企業を中心に、海外のグループ会社がサイバー攻撃にあってしまい、日本本社も関連して被害をうける事例が増えている実態がある。多くの海外グループ会社では、セキュリティ対応の人員やサイバー攻撃に対応する専門ベンダーとのネットワークが乏しく、また現地の慣習や法規制などにも対応しなければならないなどの要因から、こうした対応について、保険会社に相談いただくケースも増えている。
教学氏は、「東京海上日動では、グローバルプログラムと呼ばれる国内外のグループ会社を含めた包括的な保険プログラムを提供しています。グローバルベースのロスアジャスティング会社であるCrawford社との提携により、弁護士、セキュリティベンダー、広報支援などの手配もできます。全世界で24時間365日のコールセンターを利用できるほか、専任担当者が初動対応から解決、保険の支払いまで対応できます」と話している。
最近、企業の経営層がサイバーリスク保険加入の指示をするケースが増えている。多くの企業がサイバー攻撃のリスクにさらされている中、経営層は自社の内部統制システムの構築義務を負っていますが、これを怠ると、善管注意義務違反を問われ、株主からの株主代表訴訟などのリスクがあることにも注意が必要になる。
それでは、どのようなケースで経営層が善管注意義務違反に問われるのか。教学氏は、「セキュリティリスクの存在を認識しつつも、それに対する適切なリスクコントロールを怠るケースです。また、セキュリティリスクが存在するにもかかわらず、それを認識していないケースもあります。善管注意義務違反を回避するためには、リスクの把握と評価、およびコントロール(軽減、移転)が必要です」と話す。
企業が保険加入を検討するもう1つの理由に、令和2年改正個人情報保護法の存在がある。2022年4月に施行された本法では、個人情報漏えい時の企業の責務が重大になっていることに注意が必要。例えば、一定の基準を満たす個人情報の漏えいが発生した場合、(1)個人情報保護委員会への報告、(2)漏えい対象となった被害者本人への通知の2つが義務化される。一定の基準を満たす個人情報の漏えいとは、以下の4つのケースである。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授