Cyber NINJA、只今参上

デジタル社会の世相をNINJAの視点で紐解きます。

サイバー保険の内外事情(後編)

 もうひとつ、保険のカバー内容の差も内外であるという。一般にサイバー保険は3つの補償をする。

 

1)損害賠償責任の補償

 例えば、自社の不手際などにより他社の事業に悪い影響を与えてしまい、その損害賠償するよう求められたケース。

 

2)事故対応費用の補償

 例えばサイバー攻撃を(本当に)受けたのか、被害はどのくらいかのフォレンジック調査費用。個人情報漏洩の対象者へのお詫び金(1,000円/人?)支払い。

 

3)システム停止への補償

 例えば工場が数日停まり、製品の製造等が出来なくなった場合の遺失利益。およびその波及損失(製品を売ってくれていた販売店の損失など)。

 

 国内のサイバー保険は、1~2は確実にカバーするが、3についてはカバー仕切れないものもあり、それらはオプション(別契約)としている。しかし米国の保険はフルカバーしているケースが多いという。

 

◆国内保険の通常カバー範囲

 ・損害賠償金、訴訟費用

 ・危機管理対応費用(フォレンジック・広告・お詫び金・データ復元等)

 ・遺失利益、営業継続費用

◆同オプション(米国保険は通常の範囲内)

 ・ランサム攻撃対応の身代金

 ・罰金、課徴金

 ・レピュテーション損失

 

 現在世界で猛威を振るっているランサムウェア攻撃は、身代金を払うかどうかが被害企業にとって最大の決断。拒否し続けて電子カルテが止まり、一からシステムを(データ含めて)作り直している病院もある。

 

    f:id:nicky-akira:20211126203727j:plain

 

 だから国内保険も身代金もカバーしてくれればいいのに・・・というのは、ちょっと早計。現実に被害金額の高騰により、欧米の保険会社で「サイバー保険」から撤退するところも出始めている。諸般の制限を付けて支払金額を制限したり、保険料値上げをする会社もある。慎重姿勢の国内保険会社の方が、賢かったとも言える。

 

 国内の通常カバー範囲でも、サイバー攻撃に遭った時、迅速なフォレンジックをするには十分役に立つ。フォレンジックをする企業にしてみれば、知らない企業でも保険に入って入れは仕事のフィーは取りはぐれないから信用調査なしでやってくれる。一方で「保険に入っていることがバレると、狙われやすい(犯人からしても払ってくれそうと思う)のではないか」との疑念もあった。

 

 悩みを孕みながら進化するであろう「サイバー保険」、これからも注目していきます。