サイバー保険ガイドColumn

サイバー攻撃、情報漏洩のリスクに備えるための情報発信コラム

2023.6.22 サイバー保険

サイバー保険の必要性とは?必要な理由と個人情報漏洩保険との違いをプロが徹底解説

サイバー保険の必要性とは?必要な理由と個人情報漏洩保険との違いをプロが徹底解説

DXの加速化に伴いサイバー攻撃による被害は高度化し、その攻撃目的も従来のような単なる愉快犯による自己顕示欲の攻撃ではなく、特定の企業をターゲットとした金銭目的の犯行が増えており、サイバーセキュリティ対策の重要性が改めて高まっています。
それに伴い、サイバー事故によって企業に生じた損害を補償する損害保険「サイバー保険」が注目を浴びていることをご存知でしょうか。
本記事ではサイバー保険の概要や特徴と共に、サイバー保険の必要性について、サイバー保険の加入方法について解説していきたいと思います。

サイバー保険とは

サイバー保険はサイバーリスクに起因して発生する様々な損害に対応するための保険です。
サイバーリスクとは、コンピューターやソフトやネットワーク、インターネットをめぐる脅威の全般を指す幅広いリスクとして使われる言葉で、主に保険業界で用いられる用語です。

サイバーリスクの範囲は、サイバー攻撃やサイバー盗難、ビジネスメール詐欺による事故だけに留まらず、業務ミスの事故やシステム誤作動、従業員の悪意的犯行による事故など、幅広い事故をを含みます。
つまり、サイバー攻撃によるネットワークの中断や情報漏洩だけではなく、例えばプログラムの設定の誤りによるミスや、従業員が顧客リストを持ち出してしまった情報漏洩なども、サイバーリスクのうちに含まれます。

サイバー保険は、こういったサイバー事故により企業に生じた第三者に対する「損害賠償責任」のほか、事故時に必要となる「費用」や自社の「喪失利益」を包括的に補償する保険です。(※補償範囲は保険会社や商品によって異なります。)

深刻化するサイバー攻撃の脅威

日々ニュースで報じられているサイバー攻撃の被害は深刻化しており、そのリスクは全ての企業や業種に拡がっています。ここではその脅威を改めて解説します。

サイバー攻撃は10年間で約46倍に増加

サイバー攻撃のリスクは情報通信研究機構(NICT)の「NICTER観測レポート」によると、2022年に観測されたサイバー攻撃関連通信はこの10年間で約46倍になっています。年々サイバー攻撃関連通信パケット数が膨らんでいるところを見ると、今後もこの傾向は続くといえるでしょう。

2022年に観測されたサイバー攻撃関連通信はこの10年間で約46倍 出典:国立研究開発法人情報通信研究機構(NICT)「NICTER観測レポート2020の公開」より

サイバー攻撃のターゲットは中小企業へ

特に昨今では、標的型攻撃でターゲットのパソコンやネットワークにマルウェア(悪意のあるソフトウェア)を仕掛け、ターゲットの組織へ侵入し盗み出したデータを暗号化し、持ち主であっても使用できないようにデータにロックをかける「ランサムウェア」が大流行しています。
ランサムウェアは「ロックを外したければ身代金を払え」と金銭(身代金)を要求し、その上で身代金の支払いを拒むようなら今度は「暗号化したデータを公開する」と二重脅迫を行う極めて悪質なサイバー攻撃です。

こういった標的型攻撃のターゲットは、一昔前は官公庁や大手企業が主流でしたが、近年ではセキュリティ対策が比較的手薄なことから、中小企業もそのターゲットとなっているため、いつ自社がサイバー攻撃の標的になってもおかしくない状況の中、サイバー保険の必要性はますます高まっているといえます。

サイバー攻撃・サイバー事故によるインシデントの発生要因 7例

サイバー攻撃やサイバー事故と一言でいっても種類は多岐に渡ります。ここでは代表的な発生要因を取り上げてみます。

【外部からのサイバー攻撃】
標的型メール攻撃、ビジネスメール詐欺:特定のターゲットに対しメール等でサイバー攻撃を仕掛ける
ランサムウェア:PCをロックするなどして使用不能にしたのち、復旧と引き換えに「身代金」を要求する
DDoS攻撃:複数箇所から同時に大量の通信を発生させ、ウェブサイト等を利用不能にする

【内部過失・内部犯行・システム起因】
不注意による情報漏えい:メールの誤送信など組織内部の人の過失で生じる事故
内部不正による情報漏洩:組織内部にいる人が企業の機密情報や顧客情報を不正に社外へ持ち出す
盗難・紛失・メール誤送信:PCやUSBメモリ、スマートフォンの置き忘れによる紛失、盗難
誤作動・障害:プログラムミス、ASPやインフラの停止、システムの誤作動

これらの事故により「不正アクセス」「データの破壊・消失・改ざん」「ネットワークの中断」「機密情報や個人情報の漏洩」が引き起こされるのです。
さらに被害が広がりサプライチェーンへの連鎖的な不具合が関連してしまうケースは社会問題にまで発展し日々ニュースを賑わしています。

サイバー保険の必要性とは

「なぜサイバー保険が必要なのか?」は、損害保険の代理店のリスクコンサルタントの筆者がよくお客様からいただくご質問です。「どの企業様にも必要です」がその答えですが、その理由は次で解説します。

サイバー保険が必要な理由その1:事業を破綻させかねないほど甚大な経済的損失

サイバー保険が必要な理由として、まず第一にサイバーリスク(サイバー事故によるリスク)による被害額が非常に高額であり、事業の継続や会社経営にダイレクトに影響を与えてしまうという点です。

総務省の情報通信白書によると、サイバーセキュリティによる経済的損失は1社当たり数億円の損失が生じるものと算出されています。

出典:総務省(2019)「令和元年版情報通信白書」

また、トレンドマイクロの民間企業、官公庁及び自治体を対象に実施した調査においても、調査対象となった組織全体での年間平均被害総額は約2.4億円となり、4年連続で2億円を超えています。(図表3-4-1-8)。

出典:総務省(2019)「令和元年版情報通信白書」のトレンドマイクロ(2019)「法人組織におけるセキュリティ実態調査2019年版」を基に作成より

ここで、どうしてそこまで被害額がそこまで膨れ上がるのかをご説明します。

■フォレンジック調査、復旧費用
サイバー事故が発生した場合、まずは初動対応としてネットワークの遮断や証拠保全を速やかに行い、今後の対応方針を決定する観点からインシデントの内容を分析・調査する必要があります。
特にサイバー攻撃の場合は「フォレンジック調査」という専門的な調査を行うことになります。
フォレンジック調査とは、攻撃にあったパソコンやサーバ、スマートフォン等の端末のデジタルデータ収集や分析・解析し、どんな経路でどのように被害にあっているのかといった犯罪の証拠を特定したり、すでに破壊・消去されてしまっているデータから不正アクセスのログファイルなどを見つけ出すことによってインシデントを解明していく調査です。

JNSAの報告によると、フォレンジック調査の対象端末がPCとサーバー数台であれば300~400万円の費用程度で済みますが、ランサムウェアやマルウェアの感染が拡大してしまった場合は、調査端末増加しネットワーク内の挙動の調査も必要となるため、その費用は数千万円に及ぶ 場合もあるようです。
これは調査だけの費用ですので、システムが何かしらのダメージを負った場合はシステム復旧費用も必要となります。

出典:2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編

■更に膨れ上がる対応費用
万が一に顧客の個人情報が漏洩してしまった場合は、お詫び文等のDM発送費用・電話受付対応費用・新聞広告掲載等が必要となりまし、商品が納品が出来なかった場合には取引先へのお詫びも必要なケースもあります。インシデントの収束に向けて再発防止策費用も必要です。
個人情報漏えいや営業損害が訴訟へ発展した場合には、法律相談費用・弁護士費用・損害賠償費用が必要となってきます。

■株価にも影響が
そして、サイバー事故が上場企業において発生した場合には、株価の下落につながる可能性があるとJNSAの調査において報告されています。

過去の例でいえば次の事例が挙げられます。
・大手自動車メーカーのサイバー攻撃(2020):株価が一時5%下落
・大手ゲーム会社のサイバー攻撃(2020):株価が一時16%下落
・婚活サイト運営会社の情報漏洩(2021):株価が事件発覚前より43%下落(2021.7時点)
出典:2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編

経済的損失が1社当たり数億円となり、株価の下落まで発生し、事業を破綻させかねないほど経済的な損失が大きいということがご理解いただけますでしょうか。
これらの損害額を引き受けてくれるのがサイバー保険なのです。

サイバー保険が必要な理由その2:緊急時の各種サポート機能が豊富

サイバー攻撃は年々増え続けており、そのリスクが日々変化し手法が巧妙化すると共に、被害も複雑化しています。またテレワークやウェブ会議の定着が進み、新しい環境で仕事をする機会が増えたことで対策はますます困難な状況となったと言えます。

大企業であれば、サイバーセキュリティを所管するITの専門部署が存在しており体制構築も整備され、取引先や株主など多くのステイクホルダーへの説明責任を負っていることから、セキュリティ意識も非常に高く保たれています。

しかしに特にサイバーセキュリティの専門部署を設けていない中小企業様はセキュリティポリシーが整備されておらず、おそらく突然やってくるサイバー事故への初動対応体制や手順を整備されていないのではないでしょうか。
サイバー事故発生時には早期対応による被害の拡散防止が必要ですが、いざ事故にあった場合にどのように立ち向ってよいかわからず原因の特定さえ困難な状況へ陥るケースも少なくありません。

サイバー保険は保険そのものの機能(保険金)に加え、どの保険会社でも下記のような多くの無料サービスを兼ね備えているため、このサービスをご希望されて加入されるお客様もいらっしゃいます。(※無料サービスの範囲は保険会社によって異なります。その範囲はご相談ください。)

【平時用:リスク軽減となるサービス】
・サイバー関連の最新情報の提供
・企業のリスク状況の診断
・従業員への標的型メール訓練
・管理職層向けセキュリティ研修

【緊急時用】
・緊急時ホットラインサービス ・インシデント初動対応アドバイス(被害拡大防止)
・原因究明、影響範囲調査・広報支援など
・トラブル相談(SNS炎上対策など)
・法律相談(専門弁護士紹介含む)
・行政対応支援


サイバー保険に加入することにより、上記のようなリスク軽減のサービスを無料で受けることができ、緊急時には様々なトラブルに対処できる総合支援サービスが無料で自動付帯されてくるということになります。

こんな会社はサイバー保険が必要ない?

お客様からよくお伺いするお話で「自社には狙われるような情報資産がない」「うちは攻撃を受けても被害が発生しようがない」というご意見があります。
しかし、悪意のあるハッカーのターゲットは必ずしも機密情報や価値のあるような情報資産だけではありません
その情報に価値はなくても、パソコンを乗っ取ることで踏み台にし、第三者へのサイバー攻撃に悪用したり、親会社や取引先、顧客を騙し脅迫するなど手法など重い被害へ発展するケースがあります。
たとえ規模の小さい組織や情報でもサイバーリスクがある
のです。
今現在も猛威を振るっているランサムウェアは、いつ自社がターゲットとなってもおかしくありません。
サイバー攻撃に狙われるのは大企業だけではなく中小企業となった今では、どの業種や規模の企業であってもサイバー保険が必要です。

ランサムウェアをもっと知りたい方は、下記ページをご覧ください。
▼ランサムウェアとは?感染経路や被害事例から対策を解説

「うちの会社はセキュリティ万全だから大丈夫」

残念ながらサイバー攻撃、サイバー事故を100%完全に防ぐことはできません。
セキュリティ対策により、サイバー攻撃のリスクを軽減することはできますがリスクを0%にすることはできません。
実際、サイバー保険の加入理由について「完全にサイバーリスクを防ぐことはできないため」、「ネット上で情報管理をする機会が増えてきたため」と回答した企業が全体の4割以上を占めていることからも、そうした現状を危惧している企業の多さがわかるのではないでしょうか。

もっと事故例と被害内容を知りたい方は、下記ページをご覧ください。
▼サイバー保険ガイド 事故例と被害内容

個人情報漏えいのみの保険

「サイバー保険の補償範囲が広すぎて必要性が感じられない」という企業様は、個人情報を取り扱う企業様は「個人情報漏えいのみに特化したサイバー保険(情報漏えい保険)」があるためそちらをご検討ください。弊社のコンサルタントが詳しくご案内いたします。

保険代理店の一口メモ:「サイバー保険」と「個人情報漏洩保険」の違い

サイバー保険と個人情報漏洩保険の違いは補償範囲です。
個人情報漏洩保険は、個人情報漏洩や個人情報漏洩のおそれに伴う損害賠償責任や費用が補償の範囲です。
サイバー保険は、それに加えてサイバーリスクやそのおそれに伴う損害賠償責任や費用を補償の対象とした包含された保険です。

ひと昔前のサイバー保険は、「コンピュータアタック保険」「個人情報漏洩保険」「IT事業者賠責保険」とニーズごとに個別の保険に分かれていました。
しかしこれらはサイバー攻撃が起きた時に複雑に絡み合い、どこに原因があるか特定しづらいことも多々ありました。
また、お客様にとっては補償内容も複雑なため、本来は必要だと思われる保険に入っておらず、いざサイバー事故発生時に保険金が支払われずに「聞いてなかった!」とトラブルとなることも多かったようです。
そのためこういったトラブルを回避するため、各保険会社は個別の「個人情報漏洩保険」ではなく必要と思われる保険をすべて包含し、価格も抑えた「サイバー保険」に切り替えたのではないかと分析しています。事実、当時の個別の保険にすべて入っていただくより、現在のサイバー保険はかなり価格が抑えられています。

とはいえ現在でも、個人情報漏洩保険しかいらない方向けの「個人情報漏えい保険」や、「個人情報漏えいだけの特約があるサイバー保険」や、IT開発リスクだけ担保したい人には「IT損害賠償責任保険」も用意されています。それらは保険会社のウェブサイトには掲載されていないことも多く、詳細は保険会社によって異なりますので、弊社までお気軽にお問い合わせください。


サイバー保険の加入時の重要ポイント3つ

サイバー保険への加入を検討する際のポイントは3つあります。

1.補償範囲の過不足を確認する
サイバー保険は、保険会社やプランによって補償の範囲が大きく異なります。
事業内容に対し、オーバースペックになるプランニングもあれば、ヒアリング不足で補償が足りない設計をしてしまう保険代理店も少なくありません。提示された補償内容をうのみにせず、自社の事業やニーズと見合っているかどうか確認するようにしましょう。

2.複数の保険会社を比較・検討する
複数の保険会社のプランを比較、検討した上で加入先を決定することが大切です。1社の1プランだけで決定をするのではなく、他にどんな特約があるか等を遠慮なく担当コンサルタントに確認してください。

3.割引制度を利用する
保険会社によってはISMS認証やプライバシーマークをお持ちの企業様や、サイバーセキュリティ経営ガイドライン基準を満たしている企業様、セキュリティ対策ををきちんと行っている企業様には保険料を割り引きする制度が存在します。
今後ずっと加入しなければならないサイバー保険なので、少しでも抑えた価格になるようプランニングしておくことが重要です。

当サイトの運営会社ファーストプレイスは、各保険会社の割引制度に精通しており、競合他社に負けない競争力を持った損保代理店です。
サイバー保険等の損害保険には「定価」が存在せず、限られた予算の中で過不足のない保険を設計するためには、代理店がクライアント様に代わりに保険会社に交渉を行うことが必須となります。
弊社は各業種の知識や、経営リスクなどの複数の要因を考慮しつつ、過不足なく貴社にあった最適な設計・お見積り・ご提案をさせていただきます。

当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。

【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社

ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。

まとめ

本記事では、サイバー保険の概要やサイバーリスクの種類、サイバー保険の必要性、サイバー保険の選び方のポイントについてお伝えしました。
残念ながらサイバー攻撃のリスクをゼロにすることはできませんし、サイバー保険に加入すればサイバー攻撃のリスクは低減するわけでもありません。 しかしサイバー保険に加入しておくことで万が一の際に生じる損害や多大な労力から自社を守ることが可能です。

今、サイバー保険への加入を悩んでいるのであれば、ぜひこの機会に検討してみてはいかがでしょうか。サイバー保険を選ぶ際は、大手保険会社の中で比較、検討することをおすすめします。当社でも問い合わせを受け付けておりますので、お気軽にお声がけください。

関連タグ

関連記事
ACCSS RANKING アクセスランキング
CATEGORY カテゴリ

運営会社について

ファーストプレイスは、
サイバー保険を扱うプロフェッショナルです

当社は2001年の創業以来、法人向けに企業の経営をサポートする保険のご提案を数多く行っております。
貴社の状況に合わせ、サイバー保険のご提案が可能です。まずはお問い合わせください。

運営会社について

pagetopへ