もうひとつ、保険のカバー内容の差も内外であるという。一般にサイバー保険は3つの補償をする。
1)損害賠償責任の補償
例えば、自社の不手際などにより他社の事業に悪い影響を与えてしまい、その損害賠償するよう求められたケース。
2)事故対応費用の補償
例えばサイバー攻撃を(本当に)受けたのか、被害はどのくらいかのフォレンジック調査費用。個人情報漏洩の対象者へのお詫び金(1,000円/人?)支払い。
3)システム停止への補償
例えば工場が数日停まり、製品の製造等が出来なくなった場合の遺失利益。およびその波及損失(製品を売ってくれていた販売店の損失など)。
国内のサイバー保険は、1~2は確実にカバーするが、3についてはカバー仕切れないものもあり、それらはオプション(別契約)としている。しかし米国の保険はフルカバーしているケースが多いという。
◆国内保険の通常カバー範囲
・損害賠償金、訴訟費用
・危機管理対応費用(フォレンジック・広告・お詫び金・データ復元等)
・遺失利益、営業継続費用
◆同オプション(米国保険は通常の範囲内)
・ランサム攻撃対応の身代金
・罰金、課徴金
・レピュテーション損失
現在世界で猛威を振るっているランサムウェア攻撃は、身代金を払うかどうかが被害企業にとって最大の決断。拒否し続けて電子カルテが止まり、一からシステムを(データ含めて)作り直している病院もある。
だから国内保険も身代金もカバーしてくれればいいのに・・・というのは、ちょっと早計。現実に被害金額の高騰により、欧米の保険会社で「サイバー保険」から撤退するところも出始めている。諸般の制限を付けて支払金額を制限したり、保険料値上げをする会社もある。慎重姿勢の国内保険会社の方が、賢かったとも言える。
国内の通常カバー範囲でも、サイバー攻撃に遭った時、迅速なフォレンジックをするには十分役に立つ。フォレンジックをする企業にしてみれば、知らない企業でも保険に入っていれば仕事のフィーは取りはぐれないから信用調査なしでやってくれる。一方で「保険に入っていることがバレると、狙われやすい(犯人からしても払ってくれそうと思う)のではないか」との疑念もあった。
悩みを孕みながら進化するであろう「サイバー保険」、これからも注目していきます。