心配された東京オリ／パラへの直接被害こそなかったが、世界中でサイバーセキュリティ・リスクは高まっている。攻撃側はどんどん高度な犯行手法を繰り出してくるし、攻撃者そのものも増加している。そんな中で防御側は、

 

・24時間、365日の防衛

・企業内システムの全体をケア

・子会社や委託先にも目を配る

 

　必要があり、完全に守り切ることなど不可能だ。そんな場合に考慮すべき手段の一つが「サイバー保険」。世界的に市場は伸びているし、日本でも大手保険会社が６～７年前から販売を開始している。ただ、ほぼ統計値に信頼のおける自然災害対応保険や自動車保険と異なり、ビジネスモデルとして難しい面がある。

 

・悪意ある「人の意志」によってリスクが変わる

・技術の進展が早く、潜在リスクが読み切れない

・事案そのものが少なく、統計として十分でない

 

　のだから、本当に「サイバー保険」が成り立つのかどうか不透明なのだ。かつて某省が保険会社を呼び「セキュリティ対策をした企業の保険料を割り引くことで、セキュリティへの投資を促すインセンティブにしたい」と求めたが、保険会社としては「まだそんなに普及していない」と要請を断っている。

 

　　　　　　　　

 

　以後、この保険はどうなったのか気になっていたのだが、今回ある保険会社の人から現状を聞くことができた。まず市場規模だが、おおむね9,000億円／年ほど。７割が米国市場であり、日本のそれは180億円（２％）でしかない。世界市場の伸び率は大きく、2017年で4,000億円ほどだったものが、2025年には2.3兆円ほどになると予想される。

 

　母数は多くないのだが、あるセキュリティ会社の調査によると、

 

・日本の1,200社あまりのうち、導入しているのは18％ほど。

・米国、豪州（いずれも500社超）では60～70％が導入している。

 

　日本市場は完全に出遅れているように見えるのだが、これには企業経営者の意識の違いや、保険のカバー内容の差が影響している。まずは経営者の意識、サイバー攻撃で株主に損失を与えたら、経営者自身が「株主代表訴訟」を食らってしまう米国では、ヘッジの手段として「保険」は有力な（自分を守る）手段なのだ。日本の経営者はこの点で緊張感が低いようだが、なにもサイバーリスクに限らずリスク意識が総じて低いのかもしれない。

 

＜続く＞