IT化の進展の裏側で、企業が抱えるITリスクが大きく膨らんでいる。ITベンダ、ユーザー企業ともにITセキュリティやIT事故対策に力を注いでいるが限界もある。そこで注目されるのが「IT保険」だ。
今年上半期は、上場企業や有名企業などを標的とした不正アクセスが発生し、大きな話題となった。大手情報サイトでは、今年5月にメールアドレスの流出やWebページの改ざんが発生し、サービスが完全に停止。特損を計上するなど注目を集め、マスメディアでも大きく取り上げた。
同事件は、ITに依存する企業の弱さを浮き彫りにした。また最近では、不正アクセス事件だけでなく、個人情報の漏えい問題なども頻発しており、経営に与える影響が懸念されている。ITバブルと呼ばれた時代は過ぎ、ITの活用によるコスト削減やコアコンピタンスの強化はもはや当たり前だ。IT企業は、リスクコントロールが必要な時代となり、安定経営をステークホルダーから求められている。
セキュリティ対策は、事前対策と事後対策に分けられるが、その中でも経営上のフィナンシャルリスクを第三者へ転嫁する「保険」が注目されている。本稿では、現状のIT事業者向け賠償責任保険事情を紹介する。
ひと口にIT事業者といっても業態はさまざまだ。パッケージソフト開発、ISP、ASP、SI、セキュリティ、人材派遣、コンテンツ配信など、多種多様にわたる。ITベンダが、ネットワークやサービスの停止、プログラムの計算ミス、オペレーションミスなど、実質上の損害が発生すれば、利用者に大きな損害を与えてしまう恐れがある。ITベンダ側に過失があれば、当然損害賠償が請求される可能性が高い。
例えば、システム開発業者が顧客の要望で受注システムを開発し、提供したとしよう。しかし、開発したシステムにバグが存在し、受注数が誤って表示され、受注が正しく行われない不具合が発生したり、システムが停止してしまい事業そのものが停止してしまえば、顧客に損害が発生し、賠償責任を負う可能性がある。同様にネットワークやASP事業者においても、サービスの停止や情報漏えいなど、提供しているサービスの瑕疵(かし)が取引先に大きなダメージを与えかねない。
賠償責任保険は、法的な賠償責任が生じた際、あらかじめ契約した範囲内で賠償金や争訟費用などを支払うものだ。IT事業者向けの賠償責任保険は歴史が浅く、各社それぞれ個性ある商品を開発している。
現在、IT事業者向けの賠償責任保険としては、IT事業で発生した賠償責任に対して包括的に補償するものや、開発事業者向けのもの、ネットワーク事業者向けの商品のほか、ASPやシステム開発など、事業ごとに引受を行う保険などが登場している。話題の個人情報の漏えいリスクに特化した個人情報漏えい賠償責任保険などもあり、リスクに応じて保険を選択する必要がある。
また、ITベンダではなくネットショップなどネットをインフラとして利用している企業向けの保険も発売されている。中には顧客へ被害を与えてしまった際の損害賠償だけでなく、不正アクセスよりサービスが停止した場合の遺失利益の支払いやデータの再作成費用などに対応している保険もある。
IT事業者向け保険は、オーダーメイド色が強く、告知書やヒアリングなどを通して事業内容やセキュリティ状況を申告し、その上で引受の可否を決定し、保険料を算出するといった流れが主流だ。補償する内容や導入コストなど、各社独自色が強く、さらに同じ保険であっても特約などにより補償する内容も変化する。
「良い保険はどれか?」という質問を受けることがある。とはいえ、事業者によっては、包括的な保険の方が良い場合もあれば、リスクが集中していれば、そのリスクに特化した保険を活用した方が良いこともある。保険金の設定や特約などの設計も大切だ。つまり重要なのは、保険加入者の希望に沿った補償内容であるか、ということだ。
現状、個人情報漏えいに特化した賠償保険であっても、保険会社によって特色がある。一見、リスクと保険の補償内容がマッチングしているように見えても、免責事項などにより、肝心の部分が守られていない場合もある。専門家へ相談し、懸念するリスクなどを詳しく説明したうえで、保険を紹介してもらうことをお勧めしたい。
Copyright © ITmedia, Inc. All Rights Reserved.