サイバー保険
近年、テレワークの普及を含め、企業のデジタル化が急激に進み、サイバー攻撃によるリスクも高まっています。企業がサイバー攻撃を受け、顧客情報を流出してしまったり、取引先へ損害を与えてしまったりすると、多額の損害賠償責任が発生する可能性があります。
また、損害賠償以外にも原因調査費用や事故対応費用、見舞金、システム停止による利益喪失等も発生します。これらサイバーリスクに対応できるのがサイバー保険です。サイバー保険とはどのような保険なのかこちらで詳しく解説いたします。
サイバー保険とは?
サイバー保険は、サイバーリスクに起因する事故によって生じた第三者への「損害賠償責任」や事故対応に係る「費用損害」、自社の「喪失利益」等を包括的に補償する保険です。
対象となる事由の具体例
- 鞄が盗まれ、鞄の中にあった手帳に記載されていた顧客情報が流出した。
- 何者かにより、公式ホームページにマルウェアが仕掛けられた。同ページを見た消費者のパソコンがマルウェアに感染し、データが消失した。
- サイバー攻撃により、社内サーバがマルウェアに感染した。原因を調査するための費用と復旧費用がかかった。
- Webサーバがサイバー攻撃を受け、顧客情報が流出した。
- 外部からの不正アクセスにより、クレジットカード情報が流出した。
- 顧客情報を誤添付して取引先へ送付したことにより、個人情報が流出した。
- サイバー攻撃による停電で、エスカレーターが急停止してしまい、来場者が転んでケガをした。
- 工場の制御システムがサイバー攻撃により乗っ取られ、工場のボイラーが爆発し、近隣住民の住居に損害を与えた。
サイバー保険の主な補償内容
- 損害賠償責任に関する補償
- 事故対応費用に関する補償
- 利益損害に関する補償(特約)
サイバー保険の補償概要の例
不正アクセス等により情報漏えいが発生し、それを外部に公表した場合の事例をもとに、サイバー保険の補償概要を記載します。
| 費用に関する損害 | 賠償に関する損害 | ||
|---|---|---|---|
| 初期対応 | 外部対応 | 復旧・再発防止 | 法律上の損害賠償金 争訟費用 訴訟対応費用 権利保全行使費用 |
| サイバー攻撃調査費用 | |||
| 事故原因・被害範囲調査費用 | |||
| コンサルティング費用 | |||
| 広告宣伝活動費用 | |||
| 事故対応費用 | |||
| 見舞金・見舞品購入費用 | |||
| コンピュータシステム等 復旧費用 |
|||
| 再発防止費用 | |||
主な費用に関する損害の説明
| サイバー攻撃調査費用 | サイバー攻撃の有無を判断することを目的とした、外部機関による調査やネットワークの切断等にかかる費用 |
|---|---|
| 事故原因・被害範囲調査費用 | 事故の原因や被害範囲の調査・証拠保全のためにあらかじめ保険会社の承認を得て負担する費用 |
| コンサルティング費用 | 外部のコンサルタントを起用した場合で、あらかじめ保険会社の承認を得て負担する費用 |
| 広告宣伝活動費用 | 謝罪のための社告・会見等に要する費用および事故の再発防止対策、危機管理改善を施した旨の宣伝・広告に要する費用 |
| 事故対応費用 | 事故の対応のために要した電話・FAX・郵便等の通信費用やコールセンター会社への委託費用等 |
| 見舞金・見舞品購入費用 | 謝罪のための見舞金・見舞品購入等のためにあらかじめ保険会社の承認を得て負担する費用 |
| コンピュータシステム等復旧費用 | 記名被保険者が所有・使用する、コンピュータシステムの損傷等で、あらかじめ保険会社の承認を得て負担するサーバ等の復旧費用、電子情報の修復・再製作等 |
| 再発防止費用 | 同様の事故の再発防止のためにあらかじめ保険会社の承認を得て負担する費用 |
主な特約と事例
| 利益損害補償特約 | 不測かつ突発的な事由に起因するネットワーク構成機器等の機能の停止により生じた利益損失や営業継続費用を補償。
|
|---|---|
| IT業務特約 | IT事故のうち「IT業務危険」を補償。
|
| 追加記名被保険者特約 | グループ全体を1保険契約で補償します(日本国内の子会社を追加記名被保険者として設定)。 |
| 情報漏えい限定補償特約 | 「情報漏えいまたはそのおそれ」のみに限定して補償。 |
サイバー保険の注意点
- 保険会社や補償プランによって、日本国外でなされた損害賠償請求が補償対象外となる場合がある。
- 保険会社によって、IT業務に起因する事故を補償するにはIT業務特約等の特約を付帯する必要がある。
- 保険料の算出にあたっては、保険会社所定のヒアリングシートを記載し保険会社へ提出する必要がある。
- 事業者向け総合型賠償責任保険のサイバーリスク補償特約等の補償内容と重複する可能性があるので注意する必要がある。
企業を取り巻くサイバーリスク
企業はサイバー攻撃によって、事業活動が妨げられ業務が停止したり、顧客情報を含む企業にとって重要な情報が漏えいしたりすることで、顧客や市場からの信頼を失うリスクがあります。
総務省「令和3年通信利用動向調査の結果(概要)」によると、過去1年間の情報通信ネットワーク利用の際に「何らかの被害を受けた」と回答した企業が52.4%あり、被害内容は、「標的型メールの送付」が33.1%ともっとも高く、次いで「ウイルスを発見又は感染」が31.1%となっています。
最近では、新型コロナウイルス感染症(COVID-19)等、非常時の事業継続に備えて、導入割合が増加傾向にあるテレワークを対象としたサイバー攻撃やIoT機器へのサイバー攻撃等サイバーリスクの巧妙化・多様化が進んでいます。
上記のようなIT業務リスクやサイバーリスクに備える保険として、サイバー保険やIT賠償責任保険等があります。最近は、サイバー保険にIT賠償責任保険等が統合される傾向にあります。
IT業務のリスク例
| ソフトウェア開発 プログラム作成業務 |
製造・販売した温度管理システムにプログラム上の欠陥があり適切に温度管理されなかったため、その顧客企業に不必要な電気料金が発生し、損害賠償請求がなされた。 |
|---|---|
| ポータルサイト・ サーバ運営業務 |
管理・運営するクラウドサービスを管理上のミスにより停止させてしまい、使用企業に逸失利益が発生し、損害賠償請求がなされた。 |
| パッケージソフトウエア 開発業務 |
顧客先においてパッケージソフトのカスタマイズ作業中に、誤って顧客データを消去してしまった。データ復元費用について損害賠償請求がなされた。 |
| 情報処理サービス業務 | 受託している給与計算プログラムの不具合により、顧客従業員に給与の誤払いが発生した。給与の再計算に要する人件費等の損害賠償請求がなされた。 |
情報漏えい事故の発生要因
情報漏えい事故の発生要因は、サイバー攻撃(不正アクセスや標的型メール攻撃等)による外部要因とヒューマンエラー(組織内部の人間の過失または内部不正)による内部要因があります。
サイバー攻撃による情報漏えいまたは情報漏えいの疑い事例
| 不正アクセス | 個人が使用していたUSBメモリより、社内PCがEmotetに感染し、社内や取引先に攻撃メールがばらまかれた。その際に感染したPCのメール本文が転用されたことで個人情報等が流出した。 |
|---|---|
| 不正アクセス | フィッシングメールと気づかずに添付ファイルを開いたことでIDとPWが窃取された。過去に送受信したメール内容を盗み見られメールアドレス等の個人情報が流出した。 |
| 標的型攻撃メール | 過去に取引をした件名や本文を使った、ウィルス付きメールが送付された。テレワークで使っていたセキュリティ強度が弱いPCが感染してしまい、個人情報等が流出した。 |
ヒューマンエラーによる情報漏えい例
| 誤操作 | 顧客の氏名、口座番号、送金金額等の個人情報が記載されたデータを誤って別の取引先に送信した。 |
|---|---|
| 盗難・紛失 | 住所、氏名、メールアドレス等の顧客情報が入ったパソコンを従業員が紛失した。 |
| 金銭目的の売却 | 従業員が顧客約10万人分の情報を不正に持ち出し、名簿業者に売却していた。 |
| 競合企業への流出 | 従業員が機密情報を不正に持ち出し、競合企業へ提供していた。 |
他人の情報を漏えいした事故による損害に備える保険として、サイバー保険や個人情報漏えい保険があります。近年の情報漏えい事故は、外的要因(サイバー攻撃)によるものが増加している傾向にあります。
そのため、各保険会社では、個人情報漏えい保険をサイバー保険に統合したり、個人情報漏えい保険でサイバー攻撃による事故を補償できたりするようにしています。
他人の情報漏えいが発生した場合の想定される損害額
想定される情報漏えい事故1
Webサイトがサイバー攻撃を受け、顧客の個人情報5,000件が流出してしまった。
| 想定される対応 | 想定される費用に関する損害 | 想定される金額 |
|---|---|---|
| システム等の調査 | 事故原因・被害範囲調査費用 | 約250万円 |
| 顧客・メディア対応 | コンサルティング費用 | 約50万円 |
| コールセンター設置(1か月) | 事故対応費用 | 約600万円 |
| プリペイドカード送付 | 見舞金・見舞品購入費用 | 約315万円 |
| 想定される損害額合計 | 約1,215万円 | |
想定される情報漏えい事故2
役員のパソコンがウィルスに感染し、保存されていた過去のメールが発信され、自社や取引先の情報が漏えいした。
| 想定される対応 | 想定される費用に関する損害 | 想定される金額 |
|---|---|---|
| 誤発信メール送付履歴調査等 | 事故原因・被害範囲調査費用 | 約700万円 |
| 被害端末の再設定費用 | コンピュータシステム等復旧費用 | 約300万円 |
| 想定される損害額合計 | 約1,000万円 | |
万が一、他人の情報の漏えい、またはそのおそれが生じた場合、被害者への損害賠償だけでなく、社会的信用低下を防ぐための謝罪会見や広告掲載等、さまざまな費用の負担が発生します。
サイバー攻撃は大企業だけの出来事ではなく対策が十分ではない企業が狙われており、中小企業でも多くの被害が発生しています。特に、メール経由でのウィルス感染やECサイト、会員向けサイト等Webサイトの各種情報を狙ったサイバー攻撃が増えています。
まとめ
今やインターネットは、日常生活や事業活動を営む上で欠かせないものとなっています。そして、インターネット利用者の多くが個人情報等の漏えいに危機感を感じています。
さまざまな業種でIT活用は不可欠なものとなっている一方で、サイバー攻撃は高度化、巧妙化し増加しています。公的機関や大企業に限らず中小企業もサイバー攻撃の脅威にさらされていますが、特に中小企業や個人事業主ではIT関連リスクへの対応が進んでいない実態もあります。
近年では、外部要因であるサイバー攻撃による情報漏えい事故が増加しています。国やセキュリティ業界では、サイバー攻撃を完全に防ぐことはできないと認識されています。
経済産業省から公表されている「サイバーセキュリティ経営ガイドライン」の「サイバーセキュリティリスクの把握とリスク対応に関する計画の策定」の項目において、把握したリスクに対する対策のひとつとして、サイバー保険の加入が挙げられています。サイバー攻撃によって多額の損害が生じることもあるので、サイバー保険への加入を検討しましょう。
よくあるご質問
- 労働者派遣法に基づいてエンジニア等を派遣した場合、派遣したエンジニア等の設計ミス等による賠償請求がなされたことを補償することはできますか。
- 保険会社、保険商品によって異なりますが、補償できる保険商品があります。
- ソフト開発会社が販売したゲームで使っているキャラクターが、ある企業のマスコットキャラクターと酷似しているとして、商標権侵害に基づく賠償請求がなされたことを補償することはできますか。
- 保険会社、保険商品によって異なりますが、補償できる保険商品があります。ただし、特許権、コンピュータプログラムの著作権侵害等は補償できません。
- サイバー保険や個人情報漏えい保険と事業者向け総合型賠償責任保険での情報漏えい補償の違いはありますか。
- 各種費用保険金額の設定に大きな違いがあります。サイバー保険や個人情報漏えい保険は費用保険金額の選択が可能ですが、事業者向け総合型賠償責任保険では定額となっていることが多いです。また、利益損害に関する補償(オプション)等、事業者向け総合型賠償責任保険では選択できない補償があります。
- 保険金額は、何を根拠に設定したらよいですか。
- サイバー保険や個人情報漏えい保険の保険金額設定にあたっては、保有している情報の種類や数、管理状況等を考慮して、万が一他人の情報が漏えいしてしまった場合、どのような対応をするのかを考慮し保険金額を設定するのが一般的です。
- ランサムウェアの被害に遭い、データ復旧のために身代金を支払った場合も補償することはできますか。
- ランサムウェアの被害によって支払った身代金は補償できません。
- ビジネスメール詐欺に遭い、加害者の口座に振り込んだ場合も補償することはできますか。
- 一般的にビジネスメール詐欺により加害者の口座に振り込んだ金額は補償できません。
- ※本文記載の特約名称や補償内容等は、保険会社によって異なることがございます。
- ※本文記載の事例で想定される損害額は、一定の仮定に基づいて計算しているものです。実際のお支払保険金額は契約条件等によって異なります。
- ※本文記載の内容は2023年4月現在の内容となっております。
公開日:2023年7月11日