昨今の状況でどんどん加入企業も増えている、情報漏洩・サイバー攻撃に関する保険についてです。
時代により出てきた新しい保険なので、特に、「何を補償するの?」という点を中心に書きます。
1.情報漏洩・サイバー攻撃の保険の意義
今やウェブコンテンツの運営者に限らず、ウェブシステム(病院など)やメール1つでも使用していれば、「踏み台にして大きな企業へ攻撃する。」などの方法も出てきており、業種や会社の規模関係なく、今後必須になってくるのではないかと思います。
記憶に新しい日本が誇る世界的自動車企業のトヨタの主要取引先企業(小島プレス工業)に攻撃が行われ、全体の工場の停止にも至ったサイバー攻撃。
トヨタの取引先6万社のうち、1社が受けたサイバー攻撃で、全体が止まってしまうという「サプライチェーン(取引先などの供給網)攻撃」の怖さを感じます。
実際に取引先を止めてしまうような大問題が起きた時、身代金の要求に応えずに、素早く対応できるか?と考えると、誤った選択をする可能性も大いにあります。
ニュースでご存知の方も多いでしょうが、この小島プレス工業、バックアップをしたトヨタ、約1か月後にほぼ復旧したことを考えますと、本当に大変だったと思いますが素早い対応だと感心します。
こういった攻撃やウィルスは、どんどん新しい形が出て来るので、それに対策を行って・・・と後手後手の対応にならざるを得ないので、正直全部を防ぐというのは難しのだろうなと感じます。
そういった攻撃やウィルス感染に合ってしまった場合、どんな動きをすべきなのか?
これを保険上で知ることもでき、保険会社の指示に従って、対応を進めて行くことができます。
すべきことに対する費用(法令対応:報告義務など)、取引先や顧客への法的賠償(弁償)、今後すべき対策の費用、そういった部分を事業継続するために、保険で補償が出来ます。
「情報漏洩」という点に限っては、まだまだ最も多いのは人的な漏洩(従業員の不正など)で、こういった部分にも対策できる保険になっている商品もあります。
2.必要となる保険商品
サイバーリスク保険・情報漏洩保険と補償を限定するケースもありますが、今現在の主流はこれらがまとめられた一括の商品です。
・サイバー攻撃対応費用(どこまで被害があるか?の調査など)
・コンサルティング費用(事故発生後のコンサルサービス利用費用など)
・対応の実行費用(弁護士・謝罪広告・コールセンター設置・見舞金など)
・データ復元費用(失ったデータの復元にかかる費用)
・セキュリティ賠償(取引先への損害賠償(弁償))
・企業情報漏洩(企業秘密などがもれた場合の損害賠償(弁償)) など
複数の特約を用いて、こういった多くの金銭的な部分を保険でカバーします。
3.事故発生の際にすべきこと
・システムの隔離・停止(被害拡大防止)
・社内のセキュリティ部署・外部専門家への連絡
・保険会社・代理店への連絡
・原因調査・ログ保全
・個人情報保護委員会への報告・顧客への通知(必要な場合)
・復旧作業・再発防止策の実施
と一般的な流れを書きましたが、「保険会社・代理店への連絡」のあとは、保険会社から紹介される調査会社・コンサルティング会社が中心となり、お客様と確認しながら進めて行くことになります。
自社でできることは本当に限られており、上記の流れを文字で読むだけでも疲弊しますが、実際の事故の際には、いろいろと専門業者や弁護士に依頼するための費用もそれなりにかかります。
調査会社も含めて紹介してくれるという点で、保険加入のメリットは非常に大きいですが、自社で対応しようと対応すべきことに差はありません。
その費用や調査会社やコンサルティング会社(対応を主導してくれる)を自社で対応するのか、保険で対応(転化)するのかという事で、保険の加入を判断されると良いかと思います。
4.費用の目安・事故の想定事例
情報漏洩・サイバー攻撃にまつわる一般的な費用について、下記にまとめておきます。
<損害調査(デジタル・フォレンジック)>
・PC1台 約100万
・サーバ1台 約300万
<損害賠償金>
・損害賠償金1名 約5,000円
<その他>
・弁護士費用 各事案による
・コールセンター設置費用 漏洩規模による
5.保険料の決定方法・目安
保険料の決定方法は、独自の保険料の算出方法となり、以下のような項目が必要になります。
- 業務内容(複数の場合は全ての割合を含む)
- 年間の売上高
- 補償内容(特約や免責など)
- 質問書への回答(現在のセキュリティ対策状況など)
最後の質問書は難しく聞こえますが、そんなに難解な内容ではありません。
ただ、海外事業を行っていたり、子会社を含めて補償したい場合などは、少し質問項目が増えます。
この質問項目の内容次第では、保険料の割引ができるケースもあります。
弊社で取り扱う1つの保険会社の情報漏洩・サイバー攻撃の補償が一緒になったプランでの保険料の目安を記載しておきます。
(例)業種:卸売業 / 現在の対策:セキュリティソフト導入のみ / 事故歴:なし 補償内容:賠償限度額1億 / 対応費用1,500万限度 / データ復元費用1,000万
| 年間売上高 | 1億円 | 5億円 | 10億円 | 50億円 |
| 年間保険料 | 約18万 | 約35万 | 約50万 | 約300万 |
※2026年2月現在
6.情報漏洩・サイバー攻撃の保険で注意すべきこと
サイバー攻撃には「身代金」がほとんどの場合要求されます。
・業務停止(暗号化によって動かせない)※メールも送信できない
・データ公開の脅迫
・バックアップまで破壊されている
などの理由で、支払ってしまう企業もいるようですが、これらの「恐喝金」は保険の対象外です。
ニュースなどでも大きく取り上げられますが、身代金の支払いに応じてしまうと、「○○株式会社は支払ったぞ!」という認識をされてしまいます。
支払った場合に、データが復旧される保証もないですし、再攻撃の標的になることを理解しておいてください。
まとめ
長々と記載しましたが、「保険は必要だなぁ!」と思って下さった方も多いかもしれません。
ですが、本当に必要なことは保険だけなのでしょうか?
経営と時間を多く奪われる甚大な被害をもたらす出来事ですから、本当に大切なことは、未然に防ぐ努力であり、メールの開封や取扱に関する教育、システムやセキュリティのアップデートなど、取引先・お客様の顔を頭に浮かべて、しっかりと対策を行ってください。
それでも新しい手口がどんどん出て来ることを考えれば、完全に防ぐことは困難であり、未然に防ぐような努力をしていても起こっってしまった際に、保険は大きな力となる最終のバックアップです。
