昨今サイバー攻撃や情報漏洩に関するニュースを目にすることが増えていますが、万が一「自分の会社がサイバー攻撃を受けたら」と考えたことはありますでしょうか。
サイバー攻撃を受けた時に「サイバー保険」に加入しておくとよいことはわかっても、そのメリット・デメリットがわからない方へ、企業にとってサイバー保険がどのようにメリットがあるのかどうかを紹介したいと思います。
サイバー保険の補償内容とは
サイバー攻撃に遭ってしまったり、社内のミスで情報漏洩を起こしてしまった等のサイバーインシデント(事故)の際に、サイバー保険に加入しておけば下記のような補償(保険金の支払い)がされます。■事故対応にかかる費用
・事故原因調査・復旧費用
・システムの復旧作業費用
・事故の再発防止策定費用
・弁護士・コンサルティング会社への相談費用
・コールセンターの設置費用
・ユーザーへのお詫び費用
・イメージ回復に伴う広告宣伝費
■損害賠償責任に伴う費用
・損害賠償費用
・訴訟対応費用
■利益損害・営業継続費用
・システム停止中の利益損害や営業継続費用
この補償範囲は保険会社やプランによって異なり、情報漏洩のみを補償する保険(情報漏洩保険)やシステム開発会社向けのIT業務専用の保険のような保険もあります。
いずれもサイバー事故を防止するものではなく、サイバーインシデント(サイバー事故)が起きた際の経済的ダメージを軽減させるための保険です。
そのため、セキュリティ対策とは別のダメージコントロールの態勢作りの一環として、サイバー保険が必要とされています。
情報漏洩リスクの懸念が4割超える
日本損害保険協会が行った国内1,500社への「サイバーリスク意識・対策実態調査2022」によると、「テレワークやWEB会議の活用を予定している企業の懸念している問題」として、「情報漏洩等のサイバーリスク」と回答した企業が全体の4割を超える41.2%という結果になりました。情報漏洩が発生すると、自社の復旧対応に加え被害者対応、企業のブランドイメージの低下、親会社・取引先等からの損害賠償請求など、広範囲に影響が及ぶことが考えられるため、多くの企業の懸念材料となっているようです。
日本の企業のサイバー保険の加入率
先に記載した懸念どおり、情報漏洩等の懸念を持つ企業は4割を超す多さですが、同調査によると国内1,500社のうちサイバー保険へ加入している企業はたったの約7.8%、情報漏洩保険への加入は5.4%でした。内訳を見ると、サイバー保険へ加入している企業のうち「大企業は9.8%」「中小企業は6.7%」でした。
大企業でさえもサイバー保険加入率は1割程度のため、一見サイバー保険の必要性があまりないように感じられます。
続いてサイバー保険の加入理由を見てみましょう。
サイバー保険の加入理由
同調査ですでにサイバー保険を加入済みの企業によると、2社に1社(51.3%)が加入理由を「完全にサイバー事故を防ぐことはできないため」と答えています。また、加入を予定している企業では「会社の信用力向上につながるため」(60.4%)が最も多い回答でした。
たしかにサイバー攻撃は高度化しており、企業規模や業種を問わずサイバー被害を受ける可能性があります。
中小企業でも数千万円の被害事例がありますので、すべての企業にとって他人事ではありません。
アメリカのサイバー保険の普及率がすごい
日本国内の加入率に対し、欧米主要国ではサイバー保険の活用が進んでいます。 特に米国においては世界最大のサイバー保険市場といわれており、企業の加入率は20~35%までに進んでいます。特に「ヘルスケア」「教育分野」の企業の加入率が40~50%で高率となっており、「金融」「小売業界」がそれに続き、今後は「製造」「エネルギー業界」においてもサイバー保険への加入が大幅に増加するとの見通しのようです。
引用:三菱総合研究所「令和3年度サイバー・フィジカル・セキュリティ対策促進事業(サイバーセキュリティ法制度の国際動向等に関する調査)報告書」より
サイバー保険に加入しない理由
なお、上記に掲載した日本損害保険協会の同調査によると「サイバーリスク保険に加入しない理由について」は、、「保険の補償内容や保険料についてよく知らないため」(40.7%)が最も多く、次に 「サイバー攻撃に伴う損害額(必要な補償額)がわからないため」(24.5%)、「サイバーセキュリティ対策の優先度が低いため」(21.0%)が多い回答でした。そして、2割(18.8%)が「サイバー被害を受ける可能性が低いため」と答えており、危機意識の低さもうかがえます。
本当にサイバー保険は不要なのか?
では、本当にサイバー保険が不要なのか、サイバー攻撃の件数を調査してみます。サイバー攻撃は10年間で約46倍に増加
サイバー攻撃のリスクは情報通信研究機構(NICT)の「NICTER観測レポート」によると、2022年に観測されたサイバー攻撃関連通信はこの10年間で約46倍になっています。年々サイバー攻撃関連通信パケット数が膨らんでいるところを見ると、今後もこの傾向は続くといえるでしょう。出典:国立研究開発法人情報通信研究機構(NICT)「NICTER観測レポート2020の公開」より
サイバー攻撃のターゲットは中小企業へ
特に昨今では、標的型攻撃でターゲットのパソコンやネットワークにマルウェア(悪意のあるソフトウェア)を仕掛け、ターゲットの組織へ侵入し盗み出したデータを暗号化し、持ち主であっても使用できないようにデータにロックをかける「ランサムウェア」が大流行しています。ランサムウェアは「ロックを外したければ身代金を払え」と金銭(身代金)を要求し、その上で身代金の支払いを拒むようなら今度は「暗号化したデータを公開する」と二重脅迫を行う極めて悪質なサイバー攻撃です。
こういった標的型攻撃のターゲットは、一昔前は官公庁や大手企業が主流でしたが、近年ではセキュリティ対策が比較的手薄なことから、中小企業もそのターゲットとなっているため、いつ自社がサイバー攻撃の標的になってもおかしくない状況の中、サイバー保険の必要性はますます高まっているといえます。
サイバー攻撃の被害額
サイバー保険が必要な理由として、まず第一にサイバーリスク(サイバー事故によるリスク)による被害額が非常に高額であり、事業の継続や会社経営にダイレクトに影響を与えてしまうという点です。総務省の情報通信白書によると、サイバーセキュリティによる経済的損失は1社当たり数億円の損失が生じるものと算出されています。出典:総務省(2019)「令和元年版情報通信白書」
また、トレンドマイクロの民間企業、官公庁及び自治体を対象に実施した調査においても、調査対象となった組織全体での年間平均被害総額は約2.4億円となり、4年連続で2億円を超えています。 出典:総務省(2019)「令和元年版情報通信白書」のトレンドマイクロ(2019)「法人組織におけるセキュリティ実態調査2019年版」を基に作成より
ここで、どうしてそこまで被害額がそこまで膨れ上がるのかをご説明します。
サーバ1台300万円のフォレンジック調査、復旧費用
サイバー事故が発生した場合、まずは初動対応としてネットワークの遮断や証拠保全を速やかに行い、今後の対応方針を決定する観点からインシデントの内容を分析・調査する必要があります。特にサイバー攻撃の場合は「フォレンジック調査」という専門的な調査を行うことになります。
フォレンジック調査とは、攻撃にあったパソコンやサーバ、スマートフォン等の端末のデジタルデータ収集や分析・解析し、どんな経路でどのように被害にあっているのかといった犯罪の証拠を特定したり、すでに破壊・消去されてしまっているデータから不正アクセスのログファイルなどを見つけ出すことによってインシデントを解明していく調査です。
JNSAの報告によると、フォレンジック調査の対象端末がPCとサーバー数台であれば300~400万円の費用程度で済みますが、ランサムウェアやマルウェアの感染が拡大してしまった場合は、調査端末増加しネットワーク内の挙動の調査も必要となるため、その費用は数千万円に及ぶ 場合もあるようです。
これは調査だけの費用ですので、システムが何かしらのダメージを負った場合はシステム復旧費用も必要となります。
出典:2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編
膨れ上がる対応費用
万が一に顧客の個人情報が漏洩してしまった場合は、お詫び文等のDM発送費用・電話受付対応費用・新聞広告掲載等が必要となりまし、商品が納品が出来なかった場合には取引先へのお詫びも必要なケースもあります。インシデントの収束に向けて再発防止策費用も必要です。個人情報漏えいや営業損害が訴訟へ発展した場合には、法律相談費用・弁護士費用・損害賠償費用が必要となってきます。
事業を破綻させかねないほど経済的な損失が大きいということがご理解いただけますでしょうか。
これらの損害額を引き受けてくれるのがサイバー保険なのです。
もっとサイバー保険を詳しく知りたい方は、下記の記事をお読みください。
サイバー保険の選び方も解説しています。
▼サイバー保険の必要性とは?必要な理由と個人情報漏洩保険との違いをプロが徹底解説
まとめ
サイバー保険の加入率、加入理由、加入しない理由を調査しました。また、本当にサイバー保険が必要なのかお調べし、サイバー攻撃の被害額からサイバー保険が必要とお伝えしました。
残念ながらサイバー攻撃のリスクをゼロにすることはできませんし、サイバー保険に加入すればサイバー攻撃のリスクは低減するわけでもありません。
しかしサイバー保険に加入しておくことで万が一の際に生じる損害や多大な労力から自社を守ることが可能です。
今、サイバー保険への加入を悩んでいるのであれば、ぜひこの機会に検討してみてはいかがでしょうか。
サイバー保険を選ぶ際は、大手保険会社の中で比較、検討することをおすすめします。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。