「サイバー保険はいらない」と考える方へ

サイバー攻撃についてメディアでも取り上げられ、各保険会社もサイバー保険を勧めています。しかし「サイバー保険はいらない」と考えている方が多いのも現状です。なぜ、そのように考えるのでしょうか。

たとえば、サイバー保険についてよく知らないことが理由の一つに挙げられます。メディアでサイバー攻撃やサイバー保険が取り上げられても、実際に身近に起こらないと、その危険や保険の重要性に気付けないでしょう。

また、サイバー攻撃による損害額や被害の規模がわからないゆえに「サイバー保険はいらない」と考える方もいます。たとえば、家が火事に遭えば数百万円の被害が出ることはわかります。被害額を想定できるため、多くの方は火災保険に加入します。しかし、サイバー攻撃による損害額をイメージできる人はそれほど多くはいません。イメージできないため「サイバー保険はいらない」と結論付けているのかもしれません。

サイバー保険とは？

サイバー保険とは、サイバー事故により生じた損害を補うための保険です。サイバー保険が日本国内に導入されたのは2015年のことであり、保険としては新しい部類に入ります。そのため、日本国内企業のサイバー保険への加入率も低いことが現状です。

たとえば、ランサムウェアによるサイバー攻撃の事例が多発しています。ランサムウェアとは、コンピューターウイルスの一種で、端末に保管されているデータを暗号化して閲覧できないようにしたり、システムへのアクセスを制限したりします。システムの復旧のために身代金を要求してくる悪質なサイバー攻撃です。

医療機関のランサムウェア被害が多発！病院が稼働停止しないようセキュリティ対策を

2021年10月31日未明、つるぎ町立半田病院（徳島県美馬郡）がランサムウェアの攻撃を受け、患者さんの電子カルテや医療データがすべて消失（暗号化される）という被害が。さらに、2022年1月14日未明、日本歯科大学付

サイバー攻撃の標的となる組織は、大企業だけでなく中小企業も含まれます。また、国家単位での高度なサイバー攻撃による被害が増大していることもあり、日本政府はシステムのサイバーセキュリティ強化や、サイバーリスクに対する備えを推奨しています。

サイバー保険で補償される内容

サイバー保険で補償される内容は、保険会社により異なりますが、基本的に以下の内容があります。

• 損害賠償責任
• 事故対応費用
• 利益損害・営業継続費用

「損害賠償責任」は、被保険者が法律上で負担する損害賠償金や訴訟費用などを補償します。
「事故対応費用」は、サイバー攻撃により生じた事故対応の費用を保証します。具体的には、事故原因調査、コールセンター設置、見舞金の支払い、法律相談などです。
「利益損害・営業継続費用」は、サイバー攻撃によるネットワークやIT機器の機能停止で発生した利益損害や営業継続費用を補償します。営業が停止したことで発生した逸失利益が含まれます。

サイバー保険の加入率

サイバー保険の加入率を見てみましょう。一般社団法人　日本損害保険協会が調査した「国内企業のサイバーリスク意識・対策実態調査2020」によると、サイバー保険に加入していると回答した企業は、全体の7.8％でした。企業別にみると、大企業は9.8％、中小企業は6.7％です。また、自分が所属している企業がサイバー保険に加入しているか「わからない」と回答した確率が33.4％と高い数値になっています。

参考：国内企業のサイバーリスク意識・対策実態調査2020｜一般社団法人 日本損害保険協会

サイバー保険が必要な理由

サイバー保険は、大企業や中小企業に関わらず多くの企業で必要です。サイバー保険が必要である4つの理由をご紹介します。

• サイバー攻撃が多発している
• サイバーリスクはゼロにできない
• 損害額が大きい
• 信用の低下につながる

サイバー攻撃が多発している

近年、サイバー攻撃による被害が多発しています。たとえば、標的型攻撃メールやWebサイトの改ざんなどがあります。サイバー攻撃の主な目的は、お金や情報の窃取や改ざん、テロ・破壊行為などさまざまです。

サイバーリスクはゼロにできない

どんなにセキュリティ対策を施しても、サイバー攻撃による被害をゼロにすることは不可能です。サイバー攻撃は巧妙化が進んでおり対策に終わりがありません。たとえ、気を付けていたとしても、標的型攻撃メールの被害に遭うかもしれません。

また、近年のテレワーク普及も、サイバーリスクをゼロにできない原因の一つとして挙げられます。総務省の調査によると、新型コロナウイルス感染症の拡大にともない、民間企業におけるテレワークの導入が急速に進みました。テレワークには、個人のセキュリティ意識の差、リモートアクセスの脆弱性、デバイスの管理の難しさがあるため、セキュリティ対策の強化が求められます。

参考：令和3年版 情報通信白書｜テレワークの実施状況｜総務省

損害額が大きい

サイバー保険が必要な理由に「損害額が大きい」こともあります。たとえば、従業員10名、年間売上3億円の小売業のケースを考えてみましょう。ショッピングサイトへの不正アクセスで1万名分の会員情報が漏えいしたとします。サイトを2週間閉鎖し復旧が必要となった場合の想定被害額は、3,570万円が予想されます。この損害額は年間売上の約12％の損害です。この金額の内訳で特に大きい分野が調査復旧費用です。PC1台につき約100万円、データベースで約200万円と言われています。

信用の低下につながる

サイバー攻撃の被害に遭うと、企業の「信用の低下につながる」こともあります。企業の信用が低下すると、顧客が競合他社の商品やサービスに流失してしまうでしょう。機密情報の漏えいによる競争力の低下や企業の信用失墜につながる可能性があることから、サイバー保険の必要性が考慮されています。

サイバー攻撃による実際の被害事例

サイバー攻撃による実際の被害事例をご紹介します。いくつかある被害事例は報告されていますが、具体的に分けると以下の3つのケースに分かれます。

• 海外へのサイバー攻撃の中継地点に利用される
• ウイルス感染による個人情報の漏えい
• 企業の機密情報の漏えい

たとえば、日本の大学に不正アクセスを試みウイルスを感染させ、米国企業のサーバーに大量のデータを送りつけダウンさせてしまう事例があります。これは、ある国のサイバー犯罪者がアメリカにサイバー攻撃するため、日本の教育機関を利用したケースです。

また、企業の従業員がウイルスに感染した添付ファイルを開封してしまい、不正アクセスが発生し、外部に個人情報が流出したケースもあります。個人情報を管理しているデータベースに不正にアクセスされてしまい、大量の顧客データなどが漏えいする事故が多発しています。このようなサイバー攻撃は、知識がないと知らないうちに大問題になるため、サイバーセキュリティ対策を行っている大企業でも対策が難しいでしょう。

さらに、企業の従業員が外部に持ち出すことが禁止されていたデータをUSBメモリにコピーして持ち出したところ、そのUSBを紛失してしまい企業内部の機密情報が外部に流出してしまったという事件もあります。企業の機密情報の漏えいによる被害は計り知れません。億単位の損失が発生することも珍しくはありません。

サイバー保険に加入するメリット

サイバー保険に加入するメリット3つをご紹介します。

• セキュリティ面の診断をしてもらえる
• 幅広く補償を受けられる
• 支援サービスが充実している

セキュリティ面の診断をしてもらえる

サイバー保険に加入するメリットの一つに「セキュリティ面の診断をしてもらえる」ことがあります。企業の状況により、サイバーセキュリティ対策は異なります。サイバー保険担当者に相談し、自社に合ったセキュリティ対策を行いましょう。

幅広く補償を受けられる

サイバー保険に加入すれば「幅広く補償を受けられる」こともメリットです。サイバー攻撃による被害賠償責任だけでなく、事故対応費用や調査費用、対策費用、サイト停止中の利益損害など、幅広い補償を受けることが可能です。

支援サービスが充実している

サイバー保険に加入しておけば、巨額の損害賠償のほか、自動付帯されている充実した支援サービスを受けることが可能です。たとえば、記者会見実施支援、信頼回復支援、弁護士事務所紹介支援などがあります。自動付帯されている支援サービスは保険会社により異なりますが、パートナー契約している企業と連携し充実したサービスを提供してくれるでしょう。

サイバー保険に入るべき人と入る必要のない人

サイバー攻撃による被害の増加と、サイバー保険の必要性を理解できても、自分に必要かわからない人が多いことも事実でしょう。サイバー保険に入るべき人と入る必要のない人を見分けるコツをご紹介します。

業種別で考えると、情報量を多く扱う業種、機密性の高い業種の人にはサイバー保険が必要です。以下の業種が挙げられます。

• サービス業
• 建設業
• 製造業
• 運輸・通信業
• 卸売・小売業
• 金融・保険業
• 不動産業

では、サイバー保険に入る必要のない人とはどのような人でしょうか。基本的に以下のような人が挙げられます。

• 現金で商売を行っている人
• 認知率を求めない商売を行っている人
• 大きな取引先がいない人

基本的に、サイバー保険は多くの企業において必要不可欠であることがわかります。

サイバー保険が必要かどうかチェック項目

サイバー保険が必要かどうかをチェックする項目を以下に挙げます。ぜひ参考にしてください。

• 規模の大きい取引先がある
• 個人情報を取り扱っている
• 企業の機密情報を取り扱っている
• 市場での認知度がある
• 内部留保が潤沢ではない

以上の項目において一つでも該当するのであれば、サイバー保険が必要です。複数の項目に該当するのであれば、サイバー保険の必要性はさらに高くなるでしょう。

サイバー保険の保険料の相場

サイバー保険の保険料の算出方法は保険会社によりさまざまです。損害賠償は同じ内容でも、保険会社により保険料が異なることもあります。サイバー保険に加入する際は、複数の保険会社に見積もりを出してもらうことをおすすめします。

サイバー保険の保険料の相場は、以下の点をもとに算出されます。

• 業種
• 過去にサイバー攻撃に遭ったか
• 売上高
• 保存しているデータ量や質
• 補償限度額
• 追加する特約
• セキュリティ対策の有無

月額の保険料が10万円である企業もあれば、100万円以上の保険料になる企業もあります。

サイバー保険の選び方とチェックポイント

サイバー保険を扱っている保険会社は数多く存在します。そのため、どの保険会社のサイバー保険を選べば良いか迷うかもしれません。サイバー保険を選ぶ際に必要な選び方とチェックポイントをご紹介します。

サイバー保険を選ぶ際に抑えておきたいポイントは以下の4つです。

• 賠償内容を細かく確認する
• 複数の保険会社を比較する
• 加入のタイミングを見極める
• 費用対効果を考慮する

補償内容を細かく確認する

サイバー保険を選ぶ際「補償内容を細かく確認する」ことは重要です。補償内容は保険会社ごとに異なります。また、サイバー攻撃で受ける経済的損失も、サイバー攻撃の種類や企業の業務内容により異なってくるでしょう。たとえば、自社のECサイトがサイバー攻撃に遭った場合を想定し、企業のシステムが停止したときの逸失利益がどの程度かを事前に考慮することで、補償内容を細かく確認します。

複数の保険会社を比較する

契約するサイバー保険会社を選ぶ際「複数の保険会社を比較する」ことをおすすめします。近年のサイバー攻撃による被害の増大にともない、サイバー保険を提供する保険会社が増えてきました。保険会社により補償内容や保険料が異なるため、加入する前に複数の保険会社を比較しましょう。比較することで、自社に合ったサイバー保険を導入することが可能です。

加入のタイミングを見極める

サイバー攻撃は日々増大しており、その手口もさまざまです。今後さらに巧妙な手口のサイバー攻撃が出てくるとも考えられます。そのため、サイバー保険への「加入のタイミングを見極める」ことは重要です。サイバー保険のサービス内容の成長を見越し、自社で行えるサイバーセキュリティ対策を充実させ、必要になったタイミングで加入するのがポイントです。

費用対効果を考慮する

サイバー保険に加入する前に、自分で行えるサイバーセキュリティ対策とサイバー保険料を比較し、十分な費用対効果を得られるか検討しましょう。サイバー保険は、サイバー攻撃による被害に遭ってはじめて効果を発揮するサービスです。サイバー保険料よりも自社の行うセキュリティ対策にかける費用が少ない場合は、サイバー保険に入らない方が費用の節約になるでしょう。

サイバー保険を取り扱っているおすすめの保険会社

日本国内でサイバー保険を取り扱っている保険会社はいくつかあります。サイバー保険を取り扱っているおすすめの保険会社をご紹介します。ぜひ参考にしてください。

• あいおいニッセイ同和損保
• AIG損保
• 共栄火災
• 損保ジャパン
• 大同火災
• 東京海上日動火災
• 日新火災
• 三井住友海上
• Chubb損害保険

補償内容や特約、自動付帯支援サービス、保険料は各保険会社により異なります。事前によく確認したうえで、自社に合ったサービス内容のサイバー保険を導入してください。

サイバー保険加入時の注意点

サイバー保険加入時の注意点をご紹介します。

日本国内では近年ランサムウェアによる被害が増加しているため、サイバー攻撃による身代金の支払いの保険適応が禁止されています。ランサムウェアに感染するとPCデータ・システムが制限され、攻撃者が指定する身代金を支払わなければ解除されません。PCデータ・システムの制限の解除のために支払った身代金は、サイバー保険の対象外です。また、ビジネスメール詐欺に遭い、攻撃者の口座に振り込んだ費用も、サイバー保険の補償は適用されないため注意が必要です。

医療機関のランサムウェア被害が多発！病院が稼働停止しないようセキュリティ対策を

2021年10月31日未明、つるぎ町立半田病院（徳島県美馬郡）がランサムウェアの攻撃を受け、患者さんの電子カルテや医療データがすべて消失（暗号化される）という被害が。さらに、2022年1月14日未明、日本歯科大学付

サイバー攻撃から守るためのセキュリティ対策

サイバー攻撃を完全に防ぐことは非常に困難です。しかし、事前に適切な対策を講じておけば、サイバー攻撃による被害を最小限に抑えることが可能です。

サイバー攻撃から守るためのセキュリティ対策はいくつか考えられます。以下の対策を考慮しましょう。

• セキュリティ対策ソフトの導入
• ファイアウォールやIDS/IPSの導入
• セキュリティについての社員教育
• ペネトレーションテスト/ネットワークフォレンジック

不審なメールやサイトには注意しましょう。OSやソフトウェアを常に最新の状態にしておくことも必要です。会社端末やUSBメモリの持ち出しを制限・禁止することも重要でしょう。また、会社内の従業員のセキュリティに対する意識向上や関連企業との連携も重要です。定期的にセキュリティ研修を社員に実施し、セキュリティに対する意識を高めましょう。

まとめ

この記事では、サイバー保険について徹底解説してきました。現状の加入率や実際の事故例を踏まえ、メリットやチェックポイント、加入時の注意点やおすすめの保険会社も見てきました。

サイバー攻撃による被害は年々増加しており、日本政府もサイバーセキュリティリスクの対策の一つとして、サイバー保険への加入を勧めています。自分の企業の現状とリスクを明確化し、サイバー保険に加入することで幅広い補償とサポートを受けられます。

サイバー保険の加入を検討している企業または団体の担当者は、ぜひサイバー保険の導入をご検討ください。株式会社ITreat（アイトリート）では、無料にてご相談を承っております。ぜひ、お気軽にご相談ください。