サイバーセキュリティ保険

サイバーセキュリティ保険の概要

サイバー責任保険とも呼ばれ、オンライン商取引における財務リスクを軽減するための契約です。保険会社が毎月または四半期ごとに契約料を受け取り、一部のリスクを引き受けます。

この業界はまだ新しく、現代のサイバーセキュリティ保険の提供者は先行顧客です。変化するサイバーリスクにより、保険会社の方針は月ごとに変わることもあります。保険引受者は補償内容、料金、保険料を決定するための十分なデータを持っていない状況です。

これは、サービスの不備を補償するエラー＆オミッション（E&O）保険から発展しました。E&O保険は、物理的またはデジタル商品を提供する企業向けの一般的な商品責任保険に似たものです。

多くの場合、E&O条項は別途販売されます。E&O保険は、顧客のクレジットカード情報など第三者データの損失を守ることはありませんが、サイバーセキュリティ保険は補償します。

‍

サイバーセキュリティ保険が必要な企業は？

サイバー犯罪の脅威は規模を問わずすべての企業に影響する可能性があります。それでも、以下のような企業はサイバーセキュリティ保険への投資を優先すべきです。

• オンラインやコンピュータ上で機密データを保管する組織

顧客の電話番号、クレジットカード情報、社会保障番号などの機密情報をデータベースや社内コンピュータに保管している場合、貴社はサイバー攻撃のリスクに晒されやすいです。データ漏洩に備えて保険会社の補償で守ることを検討する価値があります。秘密の顧客情報を保持している場合は、サイバー責任保険の必要性も意識すべきです。

• 多数の顧客を有する企業

データ漏洩後、これらの企業は高額な規制制裁を受ける可能性があります。顧客にデータ漏洩を知らせる州法に従う費用は、一般に第一者が負担するため、顧客基盤が大きい企業にとっては大きな負担となる場合があります。

• 大きな利益や価値あるデジタル資産を持つ企業

大企業はより価値あるデータを保持している可能性があり、サイバー攻撃が発生した場合、身代金要求が高額になる恐れがあります。

サイバーセキュリティ保険の加入が必要かどうか迷っている場合は、地元の事業保険担当者に相談し、リスクと保険料の費用を評価するのが良いでしょう。

コンピュータセキュリティ保険で補償される内容

データの破壊、ハッキング、データ恐喝、データ盗難による損失は、主に第一者向けサイバー保険で補償されます。主に次のリスクに対して守ります：

• 顧客への通知

セキュリティ侵害が発生した場合、特に個人を特定できる情報（PII）の損失や盗難が伴う場合、企業は通常、顧客に通知する義務があります。サイバー犯罪に対する保険は、この対応費用を補う一般的な財務戦略です。

• 個人情報の復旧

サイバー犯罪の被害にあった顧客のプライバシーを守るため、企業の回復を支援します。

• 災害復旧

もちろん、サイバー責任保険は攻撃により損なわれたデータの回復費用を負担します。

• ネットワーク復旧

サイバー攻撃で損傷したコンピュータシステムの修復費用も補償されます。

• 身代金対応

多くのランサムウェア攻撃では、攻撃者が被害者に対して感染データの解除や回復のための代金を要求します。こうした要求に伴う費用に対応できるよう設計されています。

• 攻撃後の復旧

本契約は、プライバシー保護規定や法律違反による法的費用の支払いを助け、攻撃の修復や損失情報の回収を支援するセキュリティおよびコンピュータフォレンジックの専門家の採用にも寄与します。

‍

サイバーセキュリティ保険で補償されない内容

この保険で補償されない項目は以下のとおりです：

• 資産の破壊

サイバー事故で故障したハードウェアなどは、通常、サイバーセキュリティ保険では補償されません。この種の請求は、企業財産保険で対応されるのが一般的です。

• 知的財産権

サイバー攻撃の結果、知的財産への損害や失われた資金は、補償対象にならない場合が多いです。

• 故意または自作のサイバー攻撃

サイバー犯罪を故意に行った、または引き起こした場合、ほとんどの企業のサイバー保険は補償しません。従業員による窃盗は、通常、商用犯罪保険で補償されます。

• 予防措置の費用

従業員へのサイバーセキュリティ教育や仮想プライベートネットワークの導入などの予防措置の費用は、基本的に補償されません。

‍

サイバー保険はサイバー防御の代わりになれるか？

徹底的かつ効率的なサイバーリスク管理に変わるものはなく、サイバー保険も例外ではありません。すべての企業が検討すべきですが、サイバー攻撃の被害を軽減するための補完策として位置付けるべきです。リスク管理においては、採用したセキュリティ対策やツールが、しっかりとしたサイバー保険によって支えられているか確認する必要があります。

保険を提供する前に、サイバー保険の提供者は企業のサイバーセキュリティ対策が十分かどうかを確認します。データを守るための予防策を講じている場合、保険の補償額を増やすことが可能です。一方、セキュリティ体制が不十分な企業では、リスクの評価が難しく、効果的な保険契約が得られにくい傾向にあります。

十分な、または効果的なサイバーセキュリティ対策が講じられていない企業は、サイバー保険の対象外となるか、より高い保険料を求められる可能性があります。

サイバー保険の選び方と費用

サイバー保険の料金は、被保険企業の年間売上や業種に応じて設定されることが多いです。保険提供者は、補償を受ける前にセキュリティ監査の受検や、FFIECなどが提供する認定評価ツールを用いた書類の提出を求めるのが一般的です。補償内容と料金は、これらの監査結果や評価ツールによる文書に基づいて決定されます。

サイバー保険への投資回収の見込みが立てにくいため、現在、多くの企業が加入を見送っている状況です。米国国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁（CISA）は、サイバー対策の強化に対し、補償範囲の拡大や保険料の割引といったインセンティブを提供しています。

市場が新しいことから、保険会社ごとに補償内容は大きく異なります。契約を選ぶ際は、細かい規定まで確認し、十分な補償が得られるかを確認することが重要です。また、現状のみならず将来のサイバー災害や各種サイバー脅威に対しても貴社を守る内容かどうか、注意深く検討する必要があります。