• 保険比較・見直し・無料相談のほけんの窓口トップ
• 法人保険・企業保険
• 情報漏えいの事例・リスクと対策（サイバー保険）

情報漏えいの事例・リスクと対策（サイバー保険）

総務省「令和2年通信利用動向調査の結果（概要）」によると、インターネットを利用している個人のうち、インターネットを利用していて「不安を感じる」又は「どちらかといえば不安を感じる」との回答は全体の74.2%となっています。感じている不安の内容は、「個人情報やインターネットの利用履歴の漏えい」の割合が91.6%と最も高く、次いで「コンピュータウイルスへの感染」（63.4%）、「架空請求やインターネットを利用した詐欺」（52.9%）となっていました。

2016年1月のマイナンバー制度の運用開始に伴い事業者の個人情報管理はより高い注意義務が求められ、事故発生時の適切な危機管理対応がますます重要になっていくものと考えられます。

情報漏えい事故の発生要因

情報漏えい事故の発生要因は、サイバー攻撃（不正アクセスや標的型メール攻撃等）による外部要因とヒューマンエラー（組織内部の人間の過失または内部不正）による内部要因があります。

サイバー攻撃による情報漏えい又は情報漏えいの疑い事例

不正アクセス	個人が使用していたUSBメモリより、社内PCがEmotetに感染し、社内や取引先に攻撃メールがばらまかれた。その際に感染したPCのメール本文が転用されたことで個人情報などが流出した。
不正アクセス	フィッシングメールと気づかずに添付ファイルを開いたことでIDとPWが窃取された。過去に送受信したメール内容を盗み見られメールアドレスなどの個人情報が流出した。
標的型攻撃メール	過去に取引をした件名や本文を使った、ウィルス付きメールが送付された。テレワークで使っていたセキュリティ強度が弱いPCが感染してしまい、個人情報などが流出した。

ヒューマンエラーによる情報漏えい例

誤操作	顧客の氏名、口座番号、送金金額等の個人情報が記載されたデータを誤って別の取引先に送信した。
盗難・紛失	住所、氏名、メールアドレス等の顧客情報が入ったパソコンを従業員が紛失した。
金銭目的の売却	従業員が顧客約10万人分の情報を不正に持ち出し、名簿業者に売却していた。
競合企業への流出	従業員が機密情報を不正に持ち出し、競合企業へ提供していた。

他人の情報を漏えいした事故による損害に備える保険として、サイバー保険や個人情報漏えい保険があります。近年の情報漏えい事故は、外的要因（サイバー攻撃）によるものが増加している傾向にあります。

そのため、各保険会社では、個人情報漏えい保険をサイバー保険に統合したり、個人情報漏えい保険でサイバー攻撃による事故を補償できたりするようにしています。このため、以降では、主にサイバー保険について解説をいたします。

サイバー保険とは

対象となる事由の具体例

• 何者かにより、公式ホームページにマルウェアが仕掛けられた。同ページを見た消費者のパソコンがマルウェアに感染し、データが消失した。
• 顧客情報を誤添付して取引先へ送付したことにより、個人情報が流出した。
• Webサーバがサイバー攻撃を受け、顧客情報が流出した。
• 外部からの不正アクセスにより、クレジットカード情報が流出した。

サイバー保険の主な補償内容

• 損害賠償責任に関する補償
• 事故対応費用に関する補償
• 利益損害に関する補償（オプション）

サイバー保険の補償概要の例

不正アクセス等により情報漏えいが発生し、それを外部に公表した場合の事例をもとに、サイバー保険の補償概要を例示します。

費用に関する損害			賠償に関する損害
初期対応	外部対応	復旧・再発防止	法律上の損害賠償金 争訟費用 訴訟対応費用 権利保全行使費用
サイバー攻撃調査費用
事故原因・被害範囲調査費用
コンサルティング費用
	広告宣伝活動費用
	事故対応費用
	見舞金・見舞品購入費用
		コンピュータシステム等 復旧費用
		再発防止費用

主な費用に関する損害の説明

サイバー攻撃調査費用	サイバー攻撃の有無を判断することを目的とした、外部機関による調査やネットワークの切断等にかかる費用をいいます。
事故原因・被害範囲調査費用	事故の原因や被害範囲の調査・証拠保全のためにあらかじめ保険会社の承認を得て負担する費用をいいます。
コンサルティング費用	外部のコンサルタントを起用した場合で、あらかじめ保険会社の承認を得て負担する費用をいいます。
広告宣伝活動費用	謝罪のための社告・会見等に要する費用および事故の再発防止対策、危機管理改善を施した旨の宣伝・広告に要する費用をいいます。
事故対応費用	事故の対応のために要した電話・FAX・郵便等の通信費用やコールセンター会社への委託費用等をいいます。
見舞金・見舞品購入費用	謝罪のための見舞金・見舞品購入等のためにあらかじめ保険会社の承認を得て負担する費用をいいます。
コンピュータシステム等 復旧費用	記名被保険者が所有・使用する、コンピュータシステムの損傷などで、あらかじめ保険会社の承認を得て負担するサーバ等の復旧費用、電子情報の修復・再製作等の費用をいいます。
再発防止費用	同様の事故の再発防止のためにあらかじめ保険会社の承認を得て負担する費用をいいます。

他人の情報漏えいが発生した場合の想定される損害額

想定される情報漏えい事故1

Webサイトがサイバー攻撃を受け、顧客の個人情報5,000件が流出してしまった。

想定される対応	想定される費用に関する損害	想定される金額
システム等の調査	事故原因・被害範囲調査費用	約250万円
顧客・メディア対応	コンサルティング費用	約50万円
コールセンター設置（1カ月）	事故対応費用	約600万円
プリペイドカード送付	見舞金・見舞品購入費用	約315万円
想定される損害額合計		約1,215万円

想定される情報漏えい事故2

役員のパソコンがウィルスに感染し、保存されていた過去のメールが発信され、自社や取引先の情報が漏えいした。

想定される対応	想定される費用に関する損害	想定される金額
誤発信メール送付履歴調査等	事故原因・被害範囲調査費用	約700万円
被害端末の再設定費用	コンピュータシステム等復旧費用	約300万円
想定される損害額合計		約1,000万円

万が一、他人の情報の漏えい、またはそのおそれが生じた場合、被害者への損害賠償だけでなく、社会的信用低下を防ぐための謝罪会見や広告掲載など、様々な費用の負担が発生します。

サイバー攻撃は大企業だけの出来事ではなく対策が十分ではない企業が狙われており、中小企業でも多くの被害が発生しています。特に、メール経由でのウィルス感染やECサイト、会員向けサイト等Webサイトの各種情報を狙ったサイバー攻撃が増えています。

主なオプション補償内容

利益損害補償特約	不測かつ突発的な事由に起因して、ネットワーク構成機器等の機能が停止することによって、記名被保険者に生じた損失または費用を補償します。
追加記名被保険者特約	グループ全体を1保険契約で補償します（日本国内の子会社を追加被保険者として設定します）。
情報漏えい限定補償特約	「情報漏えいまたはそのおそれ」のみに限定して補償します。

サイバー保険の注意点

• 保険会社や補償プランによって、日本国外でなされた損害賠償請求が補償対象外となる場合がある。
• 保険料の算出にあたっては、保険会社所定のヒアリングシートを記載し保険会社へ提出することが必要となる。
• 事業者向け総合型賠償責任保険のサイバーリスク補償特約等の補償内容と重複する可能性があるので注意が必要となる。

まとめ

今やインターネットは、日常生活や事業活動を営む上で欠かせないものとなっています。そして、インターネット利用者の多くが個人情報などの漏えいに危機感を感じています。

近年では、外部要因であるサイバー攻撃による情報漏えい事故が増加しています。国やセキュリティ業界では、サイバー攻撃を完全に防ぐことはできないと認識されています。

そのような中で経済産業省から「サイバーセキュリティ経営ガイドライン」が示され、企業にはサイバーリスク対策を講じておくことが求められています。「サイバーセキュリティ経営ガイドライン」の指示4ではリスクの移転策の一つとして「サイバー保険の加入」が例示されています。

よくあるご質問

サイバー保険や個人情報漏えい保険と事業者向け総合型賠償責任保険での情報漏えい補償の違いはありますか。

各種費用保険金額の設定に大きな違いがあります。サイバー保険や個人情報漏えい保険は費用保険金額の選択が可能ですが、事業者向け総合型賠償責任保険では定額となっていることが多いです。また、利益損害に関する補償（オプション）など、事業者向け総合型賠償責任保険では選択できない補償があります。

保険金額は、何を根拠に設定したらよいですか。

サイバー保険や個人情報漏えい保険の保険金額設定にあたっては、保有している情報の種類や数、管理状況などを考慮して、万が一他人の情報が漏えいしてしまった場合、どのような対応をするのかを考慮し保険金額を設定するのが一般的です。

• ※本文記載の特約名称や補償内容などは、保険会社によって異なることがございます。
• ※本文記載の事例で想定される損害額は、一定の仮定に基づいて計算しているものです。実際のお支払保険金額は契約条件などによって異なります。
• ※本文記載の内容は2022年2月8日現在の内容となっております。

更新日：2022年2月8日