サイバー保険とは?必要性や補償内容、保険商品の比較ポイントをご紹介
はじめに
サイバー攻撃の件数は年々増加し、攻撃の手口も多様化する昨今。情報システムのセキュリティ対策を万全にしたとしても未知の攻撃は次々登場し、システムだけで完全に防御することは難しくなっています。万が一サイバー攻撃を受けて重要な情報が漏えいした場合、企業が多大な損害を被る可能性があります。
そこでサイバー攻撃を防ぐセキュリティ対策だけでなく、サイバー攻撃を受けることを想定し、被害時の費用面や対応をカバーしてくれるサイバー保険に加入しておくことをおすすめします。今回は、サイバー保険の必要性や補償される費用、保険の価格、比較・選定のポイントについてご紹介します。
そこでサイバー攻撃を防ぐセキュリティ対策だけでなく、サイバー攻撃を受けることを想定し、被害時の費用面や対応をカバーしてくれるサイバー保険に加入しておくことをおすすめします。今回は、サイバー保険の必要性や補償される費用、保険の価格、比較・選定のポイントについてご紹介します。
サイバー保険とは
サイバー保険(別名:サイバーセキュリティ保険、サイバーリスク保険)とは、情報システムが何らかのサイバー攻撃を受けて被害が発生したときに備える保険です。
一度企業がサイバー攻撃を受けると、情報漏えいやデータ消失による被害、業務停止、取引先企業の信頼低下などが起こり、その損失は計り知れません。費用面においても損害賠償や事後処理などで、高額な費用がかかります。
サイバー保険は、サイバー攻撃の影響で発生した損害賠償費用や争訟費用、事後処理や営業を継続するための費用などを、幅広くカバーします。どの企業がいつサイバー攻撃にさらされるか分かりません。万が一のときのためにサイバー保険に加入しておくことで、一定の安心感を得られるでしょう。
一度企業がサイバー攻撃を受けると、情報漏えいやデータ消失による被害、業務停止、取引先企業の信頼低下などが起こり、その損失は計り知れません。費用面においても損害賠償や事後処理などで、高額な費用がかかります。
サイバー保険は、サイバー攻撃の影響で発生した損害賠償費用や争訟費用、事後処理や営業を継続するための費用などを、幅広くカバーします。どの企業がいつサイバー攻撃にさらされるか分かりません。万が一のときのためにサイバー保険に加入しておくことで、一定の安心感を得られるでしょう。
サイバー保険の必要性
サイバー保険が年々整備されている背景にあるのは、サイバー攻撃の増加・複雑化です。近年ではランサムウェア攻撃やサプライチェーン攻撃が脅威となっており、国内外のさまざまな企業や医療機関において被害が発生しています。
【ランサムウェア攻撃】
ランサムウェアはマルウェアの一種。ランサムウェアに感染させたPCやサーバーをロックしたり暗号化したりして使用不能にした後、「元に戻すこと」を条件に金銭を要求する一連の攻撃。
【サプライチェーン攻撃】
攻撃のターゲットとなる企業ではなく、その企業の関連会社や取引先のうち、セキュリティ対策が弱い組織を狙った攻撃。攻撃者はそれらの組織を踏み台とし、ターゲットとなる企業への攻撃を行う。
警察庁が発表している「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、令和6年上半期におけるランサムウェアの被害報告件数は114件であり、依然として高水準で推移しています。
これらのサイバー攻撃を防ぐには、システム上の情報セキュリティ対策が必要不可欠です。しかしサイバー攻撃には未知の攻撃もあるため、完全に防ぐことは難しいといっていいでしょう。万が一情報漏えいが起これば、営業停止や損害賠償の可能性もあります。それらの損害への対策として、サイバー保険が注目されているのです。
出典:令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6kami/R06_kami_cyber_jousei.pdf
【ランサムウェア攻撃】
ランサムウェアはマルウェアの一種。ランサムウェアに感染させたPCやサーバーをロックしたり暗号化したりして使用不能にした後、「元に戻すこと」を条件に金銭を要求する一連の攻撃。
【サプライチェーン攻撃】
攻撃のターゲットとなる企業ではなく、その企業の関連会社や取引先のうち、セキュリティ対策が弱い組織を狙った攻撃。攻撃者はそれらの組織を踏み台とし、ターゲットとなる企業への攻撃を行う。
警察庁が発表している「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、令和6年上半期におけるランサムウェアの被害報告件数は114件であり、依然として高水準で推移しています。
これらのサイバー攻撃を防ぐには、システム上の情報セキュリティ対策が必要不可欠です。しかしサイバー攻撃には未知の攻撃もあるため、完全に防ぐことは難しいといっていいでしょう。万が一情報漏えいが起これば、営業停止や損害賠償の可能性もあります。それらの損害への対策として、サイバー保険が注目されているのです。
出典:令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6kami/R06_kami_cyber_jousei.pdf
サイバー保険の加入率は?加入したほうが良い企業とは
ところで日本の企業において、サイバー保険はまだまだ浸透していません。
一般社団法人 日本損害保険協会では2021年度から「中小企業におけるリスク意識・対策実態調査」を発表しています。2023年度に発表された「中小企業におけるリスク意識・対策実態調査2023」によると、サイバー保険の認知度は、46.9%。3年間で10.3ポイント上昇しており、この間にサイバー保険の認知および普及が進んでいることがうかがえます。
また実際にサイバー保険に加入している企業は4.8%でした。火災保険(69.4%)や地震危険補償特約(37.0%)の加入状況と比較すると、日本企業のサイバー保険の加入率は低いといえます。実際にサイバー保険に加入している企業で、加入のきっかけとして最も多い理由は「年々リスクが複雑化していると思うから」でした。
一方、企業の損害保険の加入意向は、「情報漏えい賠償責任保険」と「サイバー保険」が最も高い状況です。
損害保険には、リスクが発生する可能性が不明である場合や、リスクが表面化した際の被害の影響がわかりにくい場合には、企業として費用をかけづらいという傾向があります。サイバー保険への加入意向があるということは、企業がサイバー攻撃のリスクを重く見ていることがうかがえます。
参考:中小企業におけるリスク意識・対策実態調査2023 調査結果報告書|一般社団法人 日本損害保険協会
https://www.sonpo.or.jp/sme_insurance/pdf/sme_report2023.pdf
サイバー攻撃の対象は大企業だけではなく、中小企業も狙われています。また企業だけではなく、医療機関や教育機関なども被害に遭うことが珍しくなくなってきました。
例えば、2022年に徳島県や愛知県などの病院のシステムが被害にあっています。いずれもランサムウェア攻撃によって電子カルテが一時使用できず通常業務がストップする事態となり、外来診療の休止やカルテの手書き対応を余儀なくされた期間もありました。
サイバー攻撃への迅速な対処ができなければ、クライアントからの信用を低下させる結果になりかねません。「中小企業におけるリスク意識・対策実態調査2023」では、サイバー保険に加入している企業の多くが、保険加入の理由として「完全にサイバー事故を防ぐことはできないため」を挙げています。以下のような事情が当てはまる企業や機関は、サイバー保険への加入を検討してはいかがでしょうか。
・個人情報を取り扱う機会が多い
・インターネット上で情報管理をする機会が多い
・過去にサイバー被害を受けたことがある
・同業種の企業でサイバー被害が発生している
・サイバー事故後の対応に不安がある
・関連会社や取引先の数が多く、サイバー事故による信用低下の影響が大きい
・業務停止の影響による損失が大きいことが見込まれる
日本企業のサイバー保険の加入率
一般社団法人 日本損害保険協会では2021年度から「中小企業におけるリスク意識・対策実態調査」を発表しています。2023年度に発表された「中小企業におけるリスク意識・対策実態調査2023」によると、サイバー保険の認知度は、46.9%。3年間で10.3ポイント上昇しており、この間にサイバー保険の認知および普及が進んでいることがうかがえます。
また実際にサイバー保険に加入している企業は4.8%でした。火災保険(69.4%)や地震危険補償特約(37.0%)の加入状況と比較すると、日本企業のサイバー保険の加入率は低いといえます。実際にサイバー保険に加入している企業で、加入のきっかけとして最も多い理由は「年々リスクが複雑化していると思うから」でした。
一方、企業の損害保険の加入意向は、「情報漏えい賠償責任保険」と「サイバー保険」が最も高い状況です。
損害保険には、リスクが発生する可能性が不明である場合や、リスクが表面化した際の被害の影響がわかりにくい場合には、企業として費用をかけづらいという傾向があります。サイバー保険への加入意向があるということは、企業がサイバー攻撃のリスクを重く見ていることがうかがえます。
参考:中小企業におけるリスク意識・対策実態調査2023 調査結果報告書|一般社団法人 日本損害保険協会
https://www.sonpo.or.jp/sme_insurance/pdf/sme_report2023.pdf
サイバー保険に加入したほうが良い企業の条件
サイバー攻撃の対象は大企業だけではなく、中小企業も狙われています。また企業だけではなく、医療機関や教育機関なども被害に遭うことが珍しくなくなってきました。
例えば、2022年に徳島県や愛知県などの病院のシステムが被害にあっています。いずれもランサムウェア攻撃によって電子カルテが一時使用できず通常業務がストップする事態となり、外来診療の休止やカルテの手書き対応を余儀なくされた期間もありました。
サイバー攻撃への迅速な対処ができなければ、クライアントからの信用を低下させる結果になりかねません。「中小企業におけるリスク意識・対策実態調査2023」では、サイバー保険に加入している企業の多くが、保険加入の理由として「完全にサイバー事故を防ぐことはできないため」を挙げています。以下のような事情が当てはまる企業や機関は、サイバー保険への加入を検討してはいかがでしょうか。
・個人情報を取り扱う機会が多い
・インターネット上で情報管理をする機会が多い
・過去にサイバー被害を受けたことがある
・同業種の企業でサイバー被害が発生している
・サイバー事故後の対応に不安がある
・関連会社や取引先の数が多く、サイバー事故による信用低下の影響が大きい
・業務停止の影響による損失が大きいことが見込まれる
保険会社各社で異なるサイバー保険の補償内容
サイバー保険は、原因調査から復旧作業、被害者への対応や信頼回復措置など、サイバー攻撃への一連の対処をカバーするものが一般的です。主な補償内容は下記が挙げられます。
被害者への損害賠償金にかかる費用を補償。損害賠償は例えば、個人情報漏えいが起こった場合に発生します。
サイバー攻撃の調査やコールセンター(お問い合わせ窓口)設置、関係者への謝罪や会見、再発防止策策定などの諸費用を賄います。
サイバー攻撃によってシステムが停止し、営業できなくなった分の損失を補填します。
またサイバー保険商品の補償内容は、保険会社によって補償の範囲が異なったり、有償オプションとなったりします。次の3点は特に、保険会社によって変わってくるものです。
サイバー攻撃の原因や、サイバー攻撃の「おそれ」がある場合の被害の有無などを外部機関へ調査依頼するための費用を補償します。
海外での事故において、海外からの損害賠償請求や現地での事後対応の費用をカバーします。
炎上対策やマスコミへの対応に関わる費用、会見費用などを補償します。
損害賠償費用の補償
被害者への損害賠償金にかかる費用を補償。損害賠償は例えば、個人情報漏えいが起こった場合に発生します。
対応費用の補償
サイバー攻撃の調査やコールセンター(お問い合わせ窓口)設置、関係者への謝罪や会見、再発防止策策定などの諸費用を賄います。
営業活動の停止に対する補償
サイバー攻撃によってシステムが停止し、営業できなくなった分の損失を補填します。
またサイバー保険商品の補償内容は、保険会社によって補償の範囲が異なったり、有償オプションとなったりします。次の3点は特に、保険会社によって変わってくるものです。
調査依頼費用の補償
サイバー攻撃の原因や、サイバー攻撃の「おそれ」がある場合の被害の有無などを外部機関へ調査依頼するための費用を補償します。
海外対応
海外での事故において、海外からの損害賠償請求や現地での事後対応の費用をカバーします。
ネット炎上対応費用の補償
炎上対策やマスコミへの対応に関わる費用、会見費用などを補償します。
サイバー保険で補償される事故例
サイバー保険で補償される例として、想定されるケースを2つご紹介しましょう。<例1>製造業の大手メーカーが不正アクセスにより、2万人の個人情報を漏えいしたケース
個人情報の漏えいが疑われる場合、初動対応としてまずネットワークを遮断して営業活動を停止することになります。
かかる費用は、サイバー攻撃のアクセスログ調査について費用1,000万円、営業活動の停止による損害5億円。他に個人情報漏えいに伴う見舞金や復旧費用などを合わせると、総額約5億2,000万円の損害となります。営業活動の停止が伴う場合は、損害額が高額になる傾向があります。
<例2>誤って500名分の個人情報を無関係の取引先に送付したケース
サイバー攻撃ではなく、メールの誤送信や書類の置き忘れなどのヒューマンエラーに起因する事故も、補償対象となる場合があります。
誤って500名分の個人情報を関係ない取引先にメールで送付したというケースでは、損害額は、情報の削除依頼や被害者に対する見舞金で約230万円となります。サイバー攻撃と同様、ヒューマンエラーはなくならないものとして考え、保険でカバーできると現実的です。
※実際に発生した事故をもとに設定した想定事故例です。ここで挙げた被害額は仮定に基づく試算です。
サイバー保険の保険料の例
サイバー保険の保険料は、企業全体に対するプランやライセンスごとの価格といったように、保険商品によって設定方法が異なります。
ここではサイバー保険の価格について、例を挙げます。
損保ジャパンのサイバー保険は、企業の事業内容と売上高、セキュリティに関する告知内容などによって保険料が異なります。
たとえば支払限度額を賠償1億円、関連費用3,000万円と設定した場合には、売上高5億円の製造業の企業に対して、年間67,000円となります。
※上記はいずれも試算です。実際の保険料は事業内容や組織の規模、その他条件によって異なるのでご注意ください。
ここではサイバー保険の価格について、例を挙げます。
損保ジャパンの例
損保ジャパンのサイバー保険は、企業の事業内容と売上高、セキュリティに関する告知内容などによって保険料が異なります。
たとえば支払限度額を賠償1億円、関連費用3,000万円と設定した場合には、売上高5億円の製造業の企業に対して、年間67,000円となります。
※上記はいずれも試算です。実際の保険料は事業内容や組織の規模、その他条件によって異なるのでご注意ください。
サイバー保険比較・選定のポイント
サイバー保険加入を検討するにあたり、選定のポイントをご紹介します。自社のセキュリティリスクを洗い出してから選ぶ
セキュリティリスクは、業種や企業規模によって異なります。
ネットショッピングやネット銀行の事業者は、多くの個人情報を取り扱うため、万が一情報漏えいが起きると被害者への損害賠償額や見舞金が多額になります。また製造業がシステム停止をした場合、営業停止による損害が発生します。
このようにサイバー保険の選定には、自社事業の何がセキュリティリスクとなるかを洗い出し、リスクをカバーできる保険商品やオプションを考えることが肝要です。
複数の保険会社を比較する
サイバー保険の補償内容は、保険会社や保険商品によって異なります。同じ補償内容に見えてもケースによっては補償対象外となる場合があるので、必ず複数の保険会社を比較しましょう。
社内の他部署の保険加入状況を知っておく
「社内の他の部署がどんな保険に入っているか」と、急に聞かれても意外と分からないものではないでしょうか。もしかすると、新しく加入する保険と他部署が入っている保険の補償内容が重複しているかもしれません。サイバー保険加入の際には、会社全体で保険の見直しが必要でないかを事前に確認しておきたいところです。
サイバー保険選びにお悩みなら3つの保険会社から選べるアクセリアで
今回は、サイバー保険の補償内容や加入率、選び方などを解説しました。業種・業界を問わずサイバー事故は発生しており、サイバー保険加入の必要性は年々高まっています。個人情報の取り扱いやインターネット上での情報管理が多い企業のほか、取引先や関係会社の数が多い企業はサイバー保険に加入し、サイバー事故の発生に備えることをおすすめします。
アクセリアでは損保ジャパン、東京海上日動の保険会社のサイバー保険商品を取り扱っています。保険とサイバーセキュリティに精通したプロがそれぞれのサイバー保険の特徴を説明、企業規模やセキュリティ対策の実施状況などを加味して最適な保険商品をご提案します。またDDoS対策やWAFなど、サイバー攻撃を防ぐための対策や事故発生時の対応まで一連の対策も含めた、総合的な情報セキュリティ対策のご提案も可能です。地震や台風などの自然災害、従業員の労災事故など、情報セキュリティに関わらないリスクに対する損害保険もまとめることができ、契約を一本化して事務の簡略化を図れます。
サイバー保険への加入や必要性についてお悩みの企業様は、ぜひお気軽にお問い合わせください。
▶サイバー保険サービスページ
▶保険見直し事例(ディーエムソリューションズ株式会社)
<参考サイト>
令和5年版 情報通信白書|サイバーセキュリティ上の脅威の増大|総務省
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/html/nd24a210.html
「令和4年度中小企業等に対するサイバー攻撃の実態調査」調査実施報告書について|IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/reports/sme/cyberkogeki2022.html
アクセリアの「サイバーリスク保険」がおすすめの理由
アクセリアでは損保ジャパン、東京海上日動の保険会社のサイバー保険商品を取り扱っています。保険とサイバーセキュリティに精通したプロがそれぞれのサイバー保険の特徴を説明、企業規模やセキュリティ対策の実施状況などを加味して最適な保険商品をご提案します。またDDoS対策やWAFなど、サイバー攻撃を防ぐための対策や事故発生時の対応まで一連の対策も含めた、総合的な情報セキュリティ対策のご提案も可能です。地震や台風などの自然災害、従業員の労災事故など、情報セキュリティに関わらないリスクに対する損害保険もまとめることができ、契約を一本化して事務の簡略化を図れます。
サイバー保険への加入や必要性についてお悩みの企業様は、ぜひお気軽にお問い合わせください。
▶サイバー保険サービスページ
▶保険見直し事例(ディーエムソリューションズ株式会社)
<参考サイト>
令和5年版 情報通信白書|サイバーセキュリティ上の脅威の増大|総務省
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/html/nd24a210.html
「令和4年度中小企業等に対するサイバー攻撃の実態調査」調査実施報告書について|IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/reports/sme/cyberkogeki2022.html
アクセリア株式会社
サービス事業部
Contact usお問い合わせ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
03-5211-7750
平日09:30 〜 18:00
Free Service