・中小企業の情報セキュリティ担当の方向けの記事です。
サイバー保険とは
サイバー保険とは、サイバー攻撃やデータ漏洩、オンライン詐欺などのリスクに備えるために設計された保険商品。必ずしも外部からの攻撃のみを補償するものではなく、社員による情報漏洩で生じた損害も補償対象となる。損害保険会社各社から販売されている。加入数は低迷しているようだが、経済産業省も加入を推奨しているので、次第に普及していくのではないか、と私は予想するしている。
過失によるデータ流出、社員による「持ち出し」もカバー
実は外部からの攻撃以外にも、様々なリスクが有る。代表的なものとして、メールの誤送信や、USBメモリーの紛失による、個人情報の流失。関西の方では、2022年に酒に酔った社員が、ノートPCなどが入ったカバンを投げ捨てて帰った、という事件もあった。過失の度合いが大きいが、補償対象である。
仮にこれが意図的なもの、つまり社員による犯罪行為だったとしても、会社は「被害者」なので、損害は補償される。
ご注意;サイバー保険で補償されないこと
注意しなければいけないのは、ランサムウェアで、身代金を要求された場合。要求に応じて払ってしまった身代金は補償されない。これは犯罪の助長につながる恐れがあるから。身代金が保険の対象になってしまうと、身代金が取りやすくなり、(企業側からすると、払いやすくなり)犯罪が増えてしまうから、法的に認められていない。また、会社のHPに店舗などの「スタッフ紹介」として、社員の個人情報を載せていた場合、これが悪用されても、補償対象にはならない。
なぜ、サイバー保険が必要か
個人情報保護法の強化により、情報漏えいが発生した時、規模に関係なく公的機関(IPAなど)に報告することが義務化された。つまり、発表せずに穏便に、ということができなくなった。そのため、個人情報の漏洩の影響を被りそうな顧客や関係者にも知らせる必要がある。もし、5万人の顧客に「お知らせとお詫び」を郵送しようとすると、1通82円の封書であれば、それだけで400万円以上かかる計算になる。さらに補償である。2014年に起きたベネッセの個人情報漏洩事件の例では、ひとり当たりの補償額は、3,000円(2023年の高裁での判決)となった。1人あたりの額としては、大したことがないのだが、これも5万人で計算すると、1億5千万円にもなる。中小企業にとっては、かなり痛い出費になる。
また、フォレンジックや復旧作業は、専門の業者に依頼することになる。しかし、最近ではサイバー保険に加入していないと、依頼を断られるケースが増えているらしい。理由としては、作業料が高額になり、しかも復旧に失敗するなど作業結果が期待はずれになることもあるので、支払い時にトラブルになるケースが増加しているためではないかと思われる。
保険料の決まり方
保険料は、下記の3つの要素で決まる。
・IPAの自己診断シート:見積の際、損保会社2社とも、このツールでの診断結果(点数)の提出を必要とした。IPAのHPからダウンロードできる「可視化ツール.Excel版」と同じもの。
・会社の年間の売上:企業向けの損害賠償保険の一種という位置づけなのだろう。
・直近3年間の事故の有無:これは、クルマの保険の「等級」と同じ考え方だろう。契約日からさかのぼって過去3年間にサイバーセキュリティ系の事故が発生していると、保険料が高くなる。
サポートデスク付きの保険もある
保険加入を検討した際、一番重視したのは、個人情報関連の「情報の漏えい」で生じた損害、あるいは賠償責任に対する補償内容だった。その点で、あいおいニッセイ同和損害保険のサイバー保険は、「サイバー」と名がついているが、「サイバー」限定ではなく、極端な場合、紙にプリントアウトしたものを紛失しても、補償対象となるなど、サイバーというよりも、むしろ個人情報保護法対応の保険、という面があり、当社のニーズに合っていた。
また、あいおいニッセイ同和損害保険のサイバー保険は、「情報漏えいのおそれ」がある時点で、適用が可能になる。それに加えて、普段から利用可能なサポートデスクのサービスが付帯している。ウィルスにやられたのか、本当に情報が流失したのか、はっきりしない段階でも相談できる窓口があるということである。有事の際を想像してみると、他に相談相手もいないワンオペなIT係としては,公的機関に報告するべきか、保険の適用を申請するべきか、など様々な判断を迫られ、かなり苦しい立場に立たされることだろう。そういう時にサポートしてくれる窓口があるというのは、非常にありがたい。
これらが決め手となり、また保険料も比較した他社のものより若干安かったため、2022年12月、あいおいニッセイ同和損害保険のサイバー保険を契約することとなった。
コメント