サイバー保険とは？補償内容や保険商品の選定ポイントをご紹介

サイバー攻撃の件数は年々増加し、攻撃の手口も多様化する昨今。情報システムのセキュリティ対策を万全にしたとしても未知の攻撃は次々登場し、システムだけで完全に防御することは難しくなっています。
そこでサイバー攻撃を防ぐセキュリティ対策だけでなく、サイバー攻撃を受けることを想定し、被害時の費用面や対応をカバーしてくれるサイバー保険に加入しておくことをおすすめします。今回は、サイバー保険で補償される費用や、保険の選定のポイントについてご紹介します。

サイバー保険（別名：サイバーセキュリティ保険、サイバーリスク保険）とは、情報システムが何らかのサイバー攻撃を受けて被害が発生したときに備える保険です。

一度企業がサイバー攻撃を受けると、情報漏えいやデータ消失による被害、業務停止、取引先企業の信頼低下などが起こり、その損失は計り知れません。費用面においても損害賠償や事後処理などで、高額な費用がかかります。

サイバー保険は、サイバー攻撃の影響で発生した損害賠償費用や争訟費用、事後処理や営業を継続するための費用などを、幅広くカバーします。どの企業がいつサイバー攻撃にさらされるか分かりません。万が一のときのためにサイバー保険に加入しておくことで、一定の安心感を得られるでしょう。

サイバー保険は、原因調査から復旧作業、被害者への対応や信頼回復措置など、サイバー攻撃への一連の対処をカバーするものが一般的です。主な補償内容は下記が挙げられます。

損害賠償費用の補償

被害者への損害賠償金にかかる費用を補償。損害賠償は例えば、個人情報漏えいが起こった場合に発生します。

対応費用の補償

サイバー攻撃の調査やコールセンター（お問い合わせ窓口）設置、関係者への謝罪や会見、再発防止策策定などの諸費用を賄います。

営業活動の停止に対する補償

サイバー攻撃によってシステムが停止し、営業できなくなった分の損失を補填します。

またサイバー保険商品の補償内容は、保険会社によって補償の範囲が異なったり、有償オプションとなったりします。次の3点は特に、保険会社によって変わってくるものです。

調査依頼費用の補償

サイバー攻撃の原因や、サイバー攻撃の「おそれ」がある場合の被害の有無などを外部機関へ調査依頼するための費用を補償します。

海外対応

海外での事故において、海外からの損害賠償請求や現地での事後対応の費用をカバーします。

ネット炎上対応費用の補償

炎上対策やマスコミへの対応に関わる費用、会見費用などを補償します。

サイバー保険で補償される例として、想定されるケースを2つご紹介しましょう。

＜例1＞製造業の大手メーカーが不正アクセスにより、2万人の個人情報を漏えいしたケース

個人情報の漏えいが疑われる場合、初動対応としてまずネットワークを遮断して営業活動を停止することになります。

かかる費用は、サイバー攻撃のアクセスログ調査について費用1,000万円、営業活動の停止による損害5億円。他に個人情報漏えいに伴う見舞金や復旧費用などを合わせると、総額約5億2,000万円の損害となります。営業活動の停止が伴う場合は、損害額が高額になる傾向があります。

＜例2＞誤って500名分の個人情報を無関係の取引先に送付したケース

サイバー攻撃ではなく、メールの誤送信や書類の置き忘れなどのヒューマンエラーに起因する事故も、補償対象となる場合があります。

誤って500名分の個人情報を関係ない取引先にメールで送付したというケースでは、損害額は、情報の削除依頼や被害者に対する見舞金で約230万円となります。サイバー攻撃と同様、ヒューマンエラーはなくならないものとして考え、保険でカバーできると現実的です。

※実際に発生した事故をもとに設定した想定事故例です。ここで挙げた被害額は仮定に基づく試算です。実際にはサイバー保険の契約条件によって異なります。

ところで日本の企業において、サイバー保険はまだまだ浸透していません。

日本企業のサイバー保険の加入率

日本損害保険協会が発表した「国内企業のサイバーリスク意識・対策実態調査2020（https://www.sonpo.or.jp/cyber-hoken/data/2020-01/pdf/cyber_report2020.pdf）」を見てみましょう。この調査によると、「貴社はサイバーリスク保険に加入していますか」という問いに対し、「加入している」と回答した企業は全体の7.8％でした。日本企業全体のサイバー保険加入率は、とても低いということがわかります。

さらに企業規模別に見ると、サイバー保険に加入している企業のうち、大企業は9.8％、中小企業は6.7％となっています。いずれも低い水準ではあるものの、中小企業のほうがサイバー保険の加入が進んでいません。ただ「今後加入予定」としている企業は、大企業（16.9％）よりも中小企業（20.7％）のほうが多くなっています。中小企業はサイバー保険に関心があるものの、対応ができていない実情が見受けられました。

サイバー保険に加入したほうが良い企業の条件

サイバー攻撃の対象は大企業だけではなく、中小企業も狙われています。また企業だけではなく、医療機関や教育機関なども被害に遭うことが珍しくなくなってきました。
例えば、2022年に徳島県や愛知県などの病院のシステムが被害にあっています。いずれもランサムウェア攻撃によって電子カルテが一時使用できず通常業務がストップする事態となり、外来診療の休止やカルテの手書き対応を余儀なくされた期間もありました。

サイバー攻撃への迅速な対処ができなければ、クライアントからの信用を低下させる結果になりかねません。「国内企業のサイバーリスク意識・対策実態調査2020」では、サイバー保険に加入している企業の多くが、保険加入の理由として「会社の信用力向上につながるため」「完全にサイバー事故を防ぐことはできないため」を挙げています。以下のような事情が当てはまる企業や機関は、サイバー保険への加入を検討してはいかがでしょうか。

・個人情報を取り扱う機会が多い
・インターネット上で情報管理をする機会が多い
・過去にサイバー被害を受けたことがある
・同業種の企業でサイバー被害が発生している
・サイバー事故後の対応に不安がある
・関連会社や取引先の数が多く、サイバー事故による信用低下の影響が大きい

サイバー保険加入を検討するにあたり、選定のポイントをご紹介します。

自社のセキュリティリスクを洗い出してから選ぶ

セキュリティリスクは、業種や企業規模によって異なります。
ネットショッピングやネット銀行の事業者は、多くの個人情報を取り扱うため、万が一情報漏えいが起きると被害者への損害賠償額や見舞金が多額になります。また製造業がシステム停止をした場合、営業停止による損害が発生します。
このようにサイバー保険の選定には、自社事業の何がセキュリティリスクとなるかを洗い出し、リスクをカバーできる保険商品やオプションを考えることが肝要です。

複数の保険会社を比較する

サイバー保険の補償内容は、保険会社や保険商品によって異なります。同じ補償内容に見えてもケースによっては補償対象外となる場合があるので、必ず複数の保険会社を比較しましょう。

社内の他部署の保険加入状況を知っておく

「社内の他の部署がどんな保険に入っているか」と、急に聞かれても意外と分からないものではないでしょうか。もしかすると、新しく加入する保険と他部署が入っている保険の補償内容が重複しているかもしれません。サイバー保険加入の際には、会社全体で保険の見直しが必要でないかを事前に確認しておきたいところです。

今回は、サイバー保険の補償内容や加入率、選び方などを解説しました。
2020年時点では日本企業の加入率は7.8％とかなり低いものの、業種・業界を問わずサイバー事故は発生しており、サイバー保険加入の必要性は年々高まっています。個人情報の取り扱いやインターネット上での情報管理が多い企業のほか、取引先や関係会社の数が多い企業はサイバー保険に加入し、サイバー事故の発生に備えることをおすすめします。

アクセリアでは損保ジャパン、東京海上日動、三井住友海上の3つの保険会社のサイバー保険商品を取り扱っています。保険とサイバーセキュリティに精通したプロがそれぞれのサイバー保険の特徴を説明し、企業規模やセキュリティ対策の実施状況などを加味して最適な保険商品をご提案。また損害保険への加入や、加入済みの各種保険の見直しも併せて対応しております。
サイバー保険への加入や必要性についてお悩みの企業様は、ぜひお気軽にお問い合わせください。

▶サイバー保険サービスページ
▶保険見直し事例（ディーエムソリューションズ株式会社）