サイバー攻撃の損害保険でリスク管理を――AIU

AIU保険が2012年12月にサイバー攻撃での損害を補償する保険商品を発売した。同社はグローバルビジネスでの新たなリスク管理に役立ててほしいと説明する。

[國谷武史，ITmedia]

　AIU保険は1月23日、2012年12月に発売したサイバー攻撃での損害を補償する企業向けの保険商品「CyberEdge」の商品説明会を開催した。同社は「グローバルビジネスを展開する企業での利用を見込んでおり、リスク管理に役立ててほしい」と説明している。

　経営保険業務部の阿部瑞穂氏によると、CyberEdgeでは「逸失利益」「損害賠償」「行政対応」「各種費用」の4つが補償対象になる。

補償のイメージ

　このうち「損害賠償」「行政対応」「各種費用」は基本契約でカバーされ、悪意を持った第三者による外部からのサイバー攻撃や、内部関係者の不正行為による情報漏えいなどが原因で発生した被害者への賠償や、監督官庁への報告対応コストおよび課徴金、調査体制の準備やフォレンジック調査費、事実公表やマスコミ対応、関係者への連絡などに伴うコストを補償する。「逸失利益」はオプションでカバーされるもので、コンピュータネットワークが中断したことによる逸失利益や臨時の対応費用などを補償する。

　契約期間は1年間で、適用地域は全世界が特徴という。契約企業とその子会社、それらの役員と従業員が被保険者になる。補償される金額は、補償対象によって契約時に設定した限度額か、上限金額の一定割合となっている。保険料は、契約を希望するセキュリティ対策の取り組み状況や業績などで異なるが、例えば、IT企業で補償限度額を5億円とするケースでは年間400万円ほどになるという。同社では1年間で100社の利用を見込んでいる。

サイバー攻撃の損害対応策が本格化

ネットゲーム会社で不正アクセスによる会員データの漏えいが発生した場合の適用例

　企業で情報漏えいが発生した場合の損害額は、統計データによっても異なるが、1回あたり数億円規模になるとされる。阿部氏によると、国内の個人情報保護法を念頭に情報漏えいでの損害を補償する保険商品は多いが、全世界を対象にサイバー攻撃による損害を補償する商品はほとんど例が無いとのこと。企業を狙う近年のサイバー攻撃は、地理的な条件を問わず発生しているため、全世界を対象にしているという

　契約に際しては、事前にセキュリティ対策の運用状況に関するアンケートや調査を行うという。セキュリティ対策が適切に行われていないと同社が判断すれば、契約できない場合もある。具体的な契約内容は、事前調査や企業側の要望などを基に同社と契約者が調整しながら作成していく。また、実際にどのタイミングで契約が発動するのかや、支払われる金額なども状況によって柔軟に対応していくとしている。

　AIU保険と提携してフォレンジック調査やCyberEdgeの契約企業の支援を担当するサイバーディフェンス研究所の小林真吾社長は、「保険商品という形だが、サイバー攻撃による被害に対して包括的な支援体制を企業に提供するという意味では一歩進んだリスク管理になるだろう」と話した。

　一方で例えば、従業員が業務中にアダルトサイトを閲覧してマルウェアに感染し、このマルウェアが原因で情報漏えいが起きたようなケースや、業務委託先への監査を委託元が適切に実施しないで情報漏えいが起きるといったケースでは補償が適用されない可能性もあるという。同商品を利用する上で、企業には情報セキュリティ対策を適切に講じているといった基本的な取り組みが求められるとしている。