ITが普及した今の社会、某国によるサイバー攻撃や電子マネーの流出がニュースになるなど便利になった反面常にリスクと隣合わせです。
企業規模が大きくなればなるほど影響も大きくなるのでリスク対策が必要になってきます。
リスクの話をするときには保険の話題になりますが、ITにもそれに対応した保険サービスというものがあります。
では保険をかければ全てを守ることができるのでしょうか。
結論としては守ることは難しいと思います。
できる範囲を把握した上で事前、事後のリスク管理することが大切になります。
サイバーセキュリティ保険と個人情報漏洩保険
色々な保険会社から多様なサービス内容や商品名で提供されていますが、大きな枠組みとしてサイバーセキュリティ保険と個人情報漏洩保険があります。
個人情報漏洩保険は比較的昔からのサービスですが、サイバー保険は2012年にAIU損害保険が始めたCyberEdgeというサービスから広がりを見せているようです。
ではその違いはなんでしょうか。
一般的な大きな違いとは保証範囲の広さです。
サイバーセキュリティ保険は個人情報漏洩も含めた包括的な保険
セキュリティ上のリスクに晒された時に企業はどんな負担をしないといけないでしょうか。
主なものとして
- ・賠償
- ・事故対応
- ・システムの再構築費用
- ・広告費用
- ・逸失利益
- ・顧客流出
被害者への損害賠償金や訴訟費用、弁護士費用、一時見舞金等
調査費用、外部機関への依頼費用、問い合わせ窓口の設置費用、対応人件費等
システムの復旧やセキュリティの強化など再構築にかかる費用等
メディアに対する告知や謝罪広告などの広報費等
通常業務が出来ていた場合に得られるであろう利益などの機会損失等
ブランドイメージ低下などによる顧客の流出等
等あげればきりがありません。
その中で個人情報漏洩保険はその名の通り個人情報漏洩にかかる部分だけの保険であり、それ以外は基本的に補償されません。
例えば、サイバー攻撃を受けてHPが改竄され商品販売ができなくなったけれど個人情報の漏洩が無い場合、
システムの復旧費や中断の間の費用が補償されなかったりということがあります。
新規で検討する場合は個人情報漏洩も含んだより包括的なサイバーセキュリティ保険の方が良いといえます。
(補償範囲は個別の保険内容により異なります)
保険費用としては範囲が広い分サイバーセキュリティ保険の方が高いのでリスクとコストを検討する必要はありますが。
サイバーセキュリティ保険は万全なもの?
では、サイバーセキュリティ保険を契約すれば全て安心でしょうか。
実はそうではありません。
免責規定
サイバーセキュリティ保険でも保険がおりない免責規定があります。
細かい規定は各保険内容によりますが、主なものとしては下記などがあります。
- ・ランサムウェアというマルウェアに感染した場合。
- ・天災や労働争議が原因での流出
- ・海外サーバーに保存されている情報漏洩
- ・重大な過失や他人に損害を与えることを認識しながら行った行為に起因すること
パソコンが操作できなくなってしまいその制限を解除するために金銭=身代金を要求されるということがありますが、こちらの費用は補償対象外のようです。
(日本では誘拐をまねく恐れがあるとして身代金の支払いに関する保険の提供が認めれていないため)
金銭で測れない損失
金銭的な部分では情報漏洩などの費用負担が補償されたとしても、長年つちかった信頼や信用といったブランドイメージの低下や今後派生する風評被害などは難しくなります。
サイバー攻撃を受けないようにするためのセキュリティ対策
またサイバーセキュリティ保険はそもそもサイバー攻撃を受けた後の対処法であってリスク回避ができるわけではないので基本的なセキュリティ対策は必要になってきます。
まとめ
新規でサイバーリスクに対する対策を検討する場合は、より広範なサイバーセキュリティ保険が良いと思いますがコストがかかることでもあるので自社でのサービス形態や及ぼす影響を考えた上で保険の加入や内容の違いを検討していく必要があります。ものによっては対象外で補償がおりないということにもなりかねません。
ただ、加入する加入しないにかかわらずサイバー攻撃などによる情報漏洩が起きた際に影響することは予めリストアップしておきシュミレーションしておくことは大切です。
