中小企業も無関係ではいられない！急増するサイバー攻撃に備えるサイバー保険とは

サイバー攻撃は日々複雑化・巧妙化しています。サイバー攻撃は、業種業態、企業規模を問わないリスクであり、ITシステムを利用する以上、完全に防ぐことはできません。
こうした理由により近年注目されているのが「サイバー保険」です。完全に防ぐことができないのであれば、その被害を補償する保険に加入するという考え方です。経済産業省が独立行政法人情報処理推進機構（IPA）とともに公表している「サイバーセキュリティ経営ガイドライン」でも、サイバー保険の加入が推奨されています。

サイバー保険とは

サイバー保険は、サイバー事故によって発生する「損害賠償責任」、事故発生時にかかる調査などの「事故対応費用」、事故によって発生した「喪失利益」や「営業継続費用」を補償する保険です。

この説明だけを見ると「大企業向けの保険」と考える人も少なくありません。しかし、近年はサプライチェーン攻撃など中小企業を最初のターゲットに狙うサイバー攻撃も急増しており、被害にあった企業に対して損害賠償を請求するケースや、取引が停止されるといったケースもあります。

サイバー保険が補償する内容

具体的にサイバー保険で補償する内容としては、次表のようなものがあります。

ただし、海外での損害賠償や訴訟費用については保険会社によって取り扱いが違うため、注意が必要です。また、喪失利益補償や営業継続費用については、オプションになっていることが多いため、付加するかどうかを慎重に検討する必要があります。

サイバー保険の保険料
サイバー保険は補償内容やサイバーリスクに応じて保険料が算定されるため、企業ごとに個別に見積もりが必要になります。

サイバー保険の比較
一般社団法人 日本損害保険協会によれば、2022年12月時点でサイバー保険を扱っている保険会社は「あいおいニッセイ同和損保」「AIG損保」「共栄火災」「損保ジャパン」「大同火災」「日本海上日動」「日新火災」「三井住友海上」の8社（50音順）があります。それぞれを順番に紹介していきます。

あいおいニッセイ同和損保

あいおいニッセイ同和損保の「サイバーセキュリティ保険」には、「ベーシックプラン」と、補償を厚くした「ワイドプラン」の2種類があります。ベーシックプランでは、「情報漏洩またはそのおそれ」と「情報システムの所有・使用もしくは管理または電子情報の提供に起因する事故」のみを補償しますが、ワイドプランではベーシックプランの補償に加えて、「サイバー攻撃に起因する対人・対物事故」と「サイバー攻撃が発生した際の対応費用」も補償します。
損害賠償責任と事故対応費用を補償し、オプション（特約）として喪失利益の補償があります。
なお、ベーシックプランは国内での損害賠償請求にしか対応していないため、海外からの損害賠償請求に備えるのであればワイドプランへの加入が必須となります。
なお、高度なサイバーセキュリティ対策を行っている場合には、最大で60%の割引があるのも特徴となっています。

AIG損保

補償内容によって細かく保険商品が分かれているのがAIG損保の特徴と言えるかもしれません。企業が所有する個人情報の漏洩に備える「個人情報漏洩保険」、コンテンツ事業者のサービスが原因で第三者に損害を与えてしまった際の損害賠償請求に備える「コンテンツ事業者向け業務過誤賠償責任保険」、IT事業者が提供するITサービスにミス（欠陥など）に起因する損害賠償に備える「IT事業者向け業務過誤賠償責任保険」、そしてサイバー攻撃にかかわるリスクを包括的に補償する「CyberEdge（2022）」があります。

ITサービスを提供していない企業の場合には個人情報漏洩保険、あるいはより幅広い補償が必要ということであればCyberEdge（2022）を検討することになるでしょう。

共栄火災

共栄火災の「サイバーリスク保険」にも「ベーシックプラン」と「ワイドプラン」が用意されています。

ベーシックプランでは「個人情報と法人情報の漏洩」「情報漏洩時の損害賠償」「不正使用を監視するために支出するクレジットモニタリング費用」「謝罪のための見舞金・見舞品の購入費用」「不正アクセスなどにより消失、損壊したデータ復旧費用」を補償します。加えてワイドプランでは「情報システムの所有・使用または管理に起因する賠償責任」と「ネットワークを構成するIT機器等の停止により発生した喪失利益」を補償します。特徴的なのは、「個人情報」だけでなく、企業秘密となっている生産方法など、公然と知られていない特定の法人に関する情報も対象になる点でしょう。

また、付帯サービスとしてセキュリティ教育やISMS取得のコンサルティングを提供する「専門事業者紹介サービス」、調査対応支援、コールセンター支援、信頼回復支援などを提供する「事故発生時サポートサービス」も提供しています。

損保ジャパン

損保ジャパンの「サイバー保険」では、「第三者への賠償責任」「事故時・事故後の対策等に必要な費用」「利益損害」「営業継続のために必要な費用」を包括的に補償します。また、自動付帯される「緊急時サポート総合サービス」で、調査対応支援、コールセンター支援、信頼回復支援、弁護士事務所などを紹介するコーディネーションなどを提供しています。

大同火災

大同火災の「情報漏えい賠償責任保険」は、日本商工会議所会員向けに情報漏えいによる損害賠償リスクを補償する保険となっています。

日本海上日動

日本海上日動の「サイバーリスク保険」は、事業活動を取り巻くサイバーリスクに起因して発生した各種損害を1つの保険で包括的に補償します。損害賠償責任や事故対応費用だけでなく、オプションとして喪失利益補償と営業継続費用も用意されています。

日新火災

日新火災の「サイバー・情報漏えい保険」は、事業における日々のサイバーリスクに備える包括的な保険で、損害賠償責任と事故対応費用を補償します。

三井住友海上

三井住友海上の「サイバープロテクター」には、「エコノミー」「ベーシック」「ワイド」の3プランが用意されています。エコノミープランとベーシックプランでは情報漏洩についての損害賠償責任のみ補償対象ですが、ワイドプランではサイバー攻撃でも補償対象となります。また、エコノミープランでは事故対象費用が補償対象外です。また、オプションとして喪失利益補償と営業継続費用も用意されています。
また、同社のWebサイトには保険会社としては珍しく保険料の例が記載されています。やはりインターネット付随サービス業や受託開発ソフトウェア業は保険料が高くなることが一目でわかるようになっています。

サイバー保険では補償されない損失
近年のサイバーリスクの中でも上位となっているランサムウェアは、ランサムつまり身代金を請求する卑劣な犯罪です。しかし、この身代金はサイバー保険では補償されることはなく、仮に身代金を支払ったとしてもデータが復旧する保証もありません。窃取した個人情報や機密情報の公表をチラつかせて脅迫するという手口もありますが、こちらも同様に身代金を支払っても公表されない保証はありません。つまり身代金は絶対に支払ってはいけないのです。

その他にも、ビジネスメール詐欺（BEC: Business E-mail Compromise）で振り込んでしまった金銭についても、サイバー保険では補償されません。BECは年々巧妙かつ悪質化している犯罪ですが、これはビジネスフローの見直しなどで対応していくしかないのです。
ただし、セキュリティ教育などサイバー犯罪を未然に防ぐ対策をサービスとして提供している保険会社も多いため、こうしたサービスを積極的に利用して社内のセキュリティリテラシーを向上するのは有効な手段と言えるでしょう。

まとめ

・経済産業省でもサイバー保険の加入を推奨している
・サイバー保険は、サイバー事故による損失を補償する
・ランサムウェアの身代金やビジネスメール詐欺で振り込んだお金は補償されない