“サイバー攻撃発生に伴う損害を包括的にカバーする保険”、それがサイバー保険です。

2012年12月にAIU損害保険が販売を開始した保険商品「CyberEdge」は、企業におけるサイバー攻撃のリスクに備えるための商品です。こういったものが必要になっている現状については、皆さんよくご存じだと思います。

過去事例にみるサイバー保険の必要性

今やサイバー攻撃の脅威は日々増しており、特に昨秋からのマルウェア等の急増は独立行政法人 情報処理推進機構（IPA）から注意喚起が出たことは記憶に新しいことです。

2015年はサイバー攻撃によるマルウェア感染によって125万件の個人情報が漏えいした日本年金機構のセキュリティ事故もありました。また、2014年には3500万件もの個人情報が漏えいしたベネッセコーポレーションの事件もありました。

こういったセキュリティ事故による情報漏えいは、ひとたび発生してしまうと、企業の信用を失墜させ、最悪は存続に関わる問題につながることもあります。

こういったセキュリティ事故につながる恐れのあるサイバー攻撃に対して、企業が受けた損害をカバーするのがサイバー保険です。サイバー保険という商品自体は、米国をはじめとする海外ではすでにかなり売り上げを伸ばしています。その内容は大きく分けて以下の2つです。

サイバー保険の２つの補償

直接的被害に対する補償	データの破壊や損失 破壊されたデータの復旧 サービス中断によるビジネスの機会損失 企業ブランド失墜による損失
間接的被害に対する補償	情報漏えいに伴う裁判費用 プライバシー侵害の対策費用

直接的被害は、実際にサーバ攻撃を受けたことによって、「データが破壊された」「ネットワークが停止してビジネスが止まった」などの直接的な損害を示すことが分かります。これに対して、間接的被害では攻撃の結果発生した情報漏えいなどによる裁判費用といった間接的な被害を示していることが分かります。

サイバー保険では、これら直接的・間接的被害の両方を補償する商品として設定されています。

国内での普及はこれから

海外、特に米国などでは、いったんセキュリティ事故が発生した場合に莫大な賠償金が要求される可能性もあり、 なかなか企業単独で対応するのが難しいケースが出てきます。
※2011年のソニーのPlayStation Networkのアカウント漏えいの際は２兆円との可能性も出ました。

こういった場合に、サイバー保険に加入しておくと、必要な経費の全額、または一部を補てんしてもらえることになり、企業が被った損失の影響をやわらげることが出来ます。

日本ではまだまだ普及しているとは言い難いサイバー保険ですが、三井住友海上や損保ジャパンなど販売を開始、あるいは開始を検討するところが出てきています。これからもその流れはどんどんと進んでいくことは確実です。

大前提は情報セキュリティ対策を行うこと

企業にとって、外部からの不正な第三者によるサイバー攻撃は大きな脅威です。また近頃では、特に政府機関などに良くあるのですが、海外のテロ組織やならずもの国家からのサイバー攻撃を想定することも必要です。

万が一、これら第三者による攻撃を防げずに、システムの破壊や停止、マルウェア感染などの被害が発生した場合、被害は自分の組織内に留まらず、関係する取引先などにまで及ぶ可能性があります。

もちろん、もっとも重要なことはそういったセキュリティ事故を発生させないために下記のような予防策をしっかりと行っておくことです。

• ファイアウォールの設置
• セキュリティ対策ソフトの導入
• IPS（侵入防止システム）の設置

しかし、同時に、万が一に侵入されて情報が流出してしまったなどのセキュリティ事故が発生してしまった場合のリスクマネジメントも大切なことです。

おわりに

本記事で紹介したサイバー保険は、万が一にセキュリティ事故が発生してしまったとき、企業にとって非常に役に立つ、場合によっては存続の危機を救うかもしれない大切なものなのです。