- サイバー保険の加入を検討している経営者
- サイバー保険の加入を検討するときの基準について知りたい人
内容をまとめると
- サイバー保険はサイバー保険による損害で発生する種々の費用を補ってくれる保険
- 大企業だけでなく中小企業がサイバー攻撃によって損害を被った過去の事例は、サイバー保険に加入する重要性を示している
- サイバー保険の保険料は、サイバー攻撃のリスクが高い業種ほど高くなる傾向にある
- サイバー攻撃のことについて相談するならマネーキャリアがおすすめ
- マネーキャリアなら保険のプロに何度でも無料で相談できる!
昨今、サイバー攻撃による個人情報漏洩やランサムウェア、データベース改ざんなどの被害が急増し、サイバー保険(サイバーセキュリティ保険)の必要性も増しています。この記事では、サイバー攻撃の事故例から、サイバー保険の加入率や費用、必要性や比較方法を解説します。
この記事の目次
目次を閉じるサイバー攻撃のリスクに備えサイバー保険を検討しよう
デジタル化がかつてない速度で進む日本においてサイバー攻撃のリスクは高まり続けていますが、そのリスクに備えるためにあるのが「サイバー保険」です。
日本損害保険協会によると、日本企業の7社に1社がサイバー攻撃を経験しています。攻撃を受けた際の損害は自社だけでのものではなく、取引先や顧客のデータが漏洩することで賠償責任が発生することもあります。
サイバー攻撃を受けるリスクがあるのは大企業だけではありません。多額のコストをかけてあ対策している大企業よりも、対策が甘いとみられる中小企業こそリスクは高いのです。
そこで役に立つのがサイバー保険です。サイバー保険に加入することで攻撃そのものを防ぐことはできませんが、損害を受けた際の金銭的問題を解決するのに役立ちます。
具体的なメリットや保障内容等については、次から詳しく解説していきます。
サイバー保険とは
サイバー保険とは、企業がサイバー攻撃を受けたときに発生する損害を補償してくれる保険です。
具体的にどのような内容を補償してくれるのか、次からは
- サイバー保険の補償内容とは
- サイバー保険の加入率
サイバー保険の補償内容とは
サイバー保険に加入することで、企業がサイバー攻撃を受けた際に発生する自社の損害や、他社・顧客への損害賠償を補償してくれます。
具体的にどのような内容が補償対象になるのかというと、次の表をご覧ください。
| 補償内容 | 詳細 |
|---|---|
| 賠償責任費用 | 自社がサイバー攻撃を受けたことで発生した、 第三者への損害を賠償する費用を補償 |
| 事故対応費用 | サイバー攻撃による設備損害などに 対応するための費用を補償 |
| 利益損害費用 | サイバー攻撃を受けたことで失われた 本来発生するはずの利益に対する補償 |
| 営業継続費用 | サイバー攻撃による被害から復旧し、 今後も営業を継続していくための費用を補償 |
保険会社による補償額は選ぶプランによって変わりますが、プランごとの保険料に関しても企業の業種や売上、セキュリティ関連の実績やインシデントなどで変わります。
そのためリスクが高いと想定される企業については保険料が高めに設定されることもあります。事前に保険料がどれくらいになるか知りたい場合は、早めに保険会社へ相談しておくことをおすすめします。
サイバー保険の加入率
日本損害保険協会の「国内企業のサイバーリスク意識・対策実態調査2020」によると、日本におけるサイバー保険の加入率は全体の「7.8%」であるとの統計が出ています。
ただし加入率を大企業と中小企業で比較した場合、結果は次のとおりです。
| 形態 | 現在加入中 | 今後加入予定 |
|---|---|---|
| 大企業 | 9.8% | 16.9% |
| 中小企業 | 6.7% | 20.7% |
中小企業よりも大企業の方がセキュリティ意識が高いという結果が出ています。
さらに中小企業は「今後も加入の予定なし」が41.9%と大半を占めており、サイバー攻撃に対して危機意識を持っている中小企業はまだまだ少ないことがわかります。
別の点として問題なのは、自社がサイバー保険に加入しているかどうか3割以上の企業が把握していない、という点です。ここには、サイバー攻撃だけでなく基本的な企業としてのセキュリティ対策が不十分である企業も含まれていると思われます。
【事例集】サイバー攻撃を受けるとどうなるか
ここまでは一口に「サイバー攻撃」と呼称してきましたが、そもそも具体的にどのような攻撃が「サイバー攻撃」と呼ばれるのか分からない、という方も多いでしょう。
そこで次からは、過去にサイバー攻撃を受けた
- 食品会社
- ECサイト
- 老舗和菓子屋
これらの企業が実際にサイバー攻撃を受けた結果どうなったか説明しながら、サイバー保険の重要性について改めて理解していきましょう。
サイバー攻撃の事例①:食品会社
2022年3月、大手菓子製造業者であるM製菓が運用しているサーバーが不正アクセスを受けたと、同社がニュースリリースで発表しました。
サイバー攻撃があったと見られるのは3月3日深夜、社内システムに障害が発生して調査を行った際に不正アクセスの痕跡が発見され、その結果M製菓が運営しているオンラインストアに登録してある一部の個人情報が漏洩した可能性がある、と発表しました。
この「一部の個人情報」には、ECサイトを利用するために登録している顧客の氏名や住所、電話番号などプライベートな情報が含まれているものと見られ、同社は「個人流出そのものの事実」は確認できないものの、完全に否定はできないとしました。
不正アクセスの事実を受けて同社は、一定期間内にオンラインストアを利用した約164万人に対して個別に郵送で連絡を行い、電話対応センターも設けています。同社は業績への影響は軽微としていますが、実際にどれだけの損害があったのかは不明です。
のちほど「流出した個人情報にクレジットカード情報は含まれていないこと」や「不正利用は認められていない」ことを発表していますが、どちらにしても一部の利用者の信用を損ねる結果となってしまったのは確かです。
サイバー攻撃の事例②:ECサイト
ECサイトを運営していたD社は2022年8月、不正アクセスが原因で、122名のクレジットカード情報が漏洩した可能性がある、と自社サイトで発表しました。
漏洩したクレジットカード情報には、本来はもっとも漏洩してはいけない「カード番号」や「セキュリティコード」が含まれているとされています。これらの情報があれば、カードがなくても第三者が勝手に商品を購入したりできてしまうからです。
なぜ漏洩した可能性があるのが「122人」なのか、それは本件の手口が単なるハッキングによるものではなく、ペイメントアプリケーションを改ざんし、商品を購入する際に偽のクレジットカード情報を入力させるページへ誘導させるという「フィッシング詐欺」だからと予測されます。
特定の時間において公式ウェブサイトから商品を購入したはずの人達は、ただクレジットカード情報を抜き取るためだけのサイトにカード情報を直接入力してしまったため、不正利用される可能性がかなり高い、といえます。
この結果を受けて当ECサイトは2022年4月に閉鎖・再開は未定となっており、現在は誰も利用できません。サイバー攻撃を受けたことで、業務が完全に停止してしまったのです。
サイバー攻撃の事故例③:老舗和菓子屋
2022年5月、S社が運営するオンラインショップが不正アクセスを受けて、約14,000件ものクレジットカード情報が漏洩した可能性がある、と自社サイトで発表しました。
こちらも決済アプリケーションを改ざんするフィッシング詐欺と見られており、古い決済システムのセキュリティホールを突かれ、特定の期間中に商品購入のためにカード情報を入力した利用者のカード番号やセキュリティコードが不正取得されてしまったようです。
漏洩した可能性のある人数は非常に多いですが、同社は「個人情報の流出は確認されていない」としています。しかし実際のところ、どれだけのカードが不正利用されたのかは不明です。
もう一つの問題点として、不正アクセスを受けてからその事実を公表するまでに、約2か月を要しているという点があります。事実関係を調査する難しさはありますが、利用者にとってみれば「なぜすぐに公表しなかったのか」と思われ、信用を損なってしまうのも当然です。
すでに現在は新しい決済方式に変わり、オンラインショップの運営は続けられています。被害規模については全容を把握するのは非常に難しいため、結局は利用者それぞれが見に覚えのない決済が発生していないかどうか確認しながら、注意していくしかありません。
サイバー保険の必要性
実際のサイバー攻撃による被害例を紹介しましたが、これらの攻撃を「100%完全に防ぐことは不可能」です。だからこそ、被害を受けたときのための「保険」としてサイバー保険が必要なのです。
これは個人が任意保険に加入するのと同様です。誰もが自動車事故に遭いたくない、安全運転をしているので遭う確率が低いと思っていますが、それでも「万が一」事故が発生した際の損害は計り知れないものとなるため、加入するのです。
サイバー保険に加入しておくと、個人情報漏洩による顧客への損害賠償責任に伴う費用や、事故調査費用、サーバー復旧費用、法律相談費用など必要経費が保険より賄われるため、実質的な費用負担をかなり軽減できます。
さきほど実際に不正アクセスが原因で営業停止に追い込まれた実例を紹介しましたが、保険に加入していることで、たとえ被害が発生しても営業を継続し、利益を出し続けることができるかもしれません。
サイバー保険では、いわゆる「事故対応」やコールセンターの設置に伴うサービスも充実しています。頻繁には起こり得ない事故であり有事の際に対応が不慣れになりやすいからこそ、それらのサービスは特に中小企業にとって大きなメリットとなるでしょう。
個人情報漏洩時の報告の義務化も必要性を後押し
サイバー保険に加入しておくべきだといえるもう一つの理由が、2022年4月より施行された「個人情報保護法」の改正です。
この改正により、企業は不正アクセス等により個人情報の漏洩事実が発覚した際には、個人情報保護委員会への通知が義務化されました。従来は努力義務だったものが、事故の詳細も含めて「絶対に報告しなければならないもの」に変わったのです。
個人情報保護委員会によると、
- 要配慮個人情報が漏洩したとみられる場合
- 財産的被害が発生したおそれがある場合
- 個人情報を不正利用する目的で漏洩した場合
- 1,000人を超える個人情報が漏洩した場合
サイバー保険の費用はいくら?相場を解説
サイバー保険の導入を考えている事業者にとって、保険料が年間でどれくらいになるのかはランニングコストを試算するうえで重要です。ただしサイバー保険の保険料および保険料の公表度合いに関しては保険会社によって差があります。
- 東京海上日動:電話での問い合わせ、資料請求が必要
- 三井住友海上:ホームページ上で保険料例を公表、パンフレットにも記載
| 業種 | エコノミープラン | ベーシックプラン | ワイドプラン |
|---|---|---|---|
| 自動車小売業 | 60,000円 | 129,380円 | 193,940円 |
| 不動産管理業・ビル管理業 | 63,730円 | 182,220円 | 273,510円 |
| インターネット付随サービス業 | 101,830円 | 252,500円 | 376,840円 |
| 受託開発ソフトウェア業 | 101,830円 | 241,770円 | 360,040円 |
サイバー保険の選び方:コンサルタントに相談しよう
サイバー保険の保険料は、業種だけでなく保険の基本保障内容や支払限度額、保険期間などのさまざまな要素で大きく変わります。ただし「保険に加入することでどのようなリスクに対応できるのか?」という点を洗い出すことが重要なのは他の企業向け保険と共通しています。
そのリスクは企業や業種で異なるからこそ一括でシミュレーションするのが難しいため、直接保険会社に相談する前に一度専門のコンサルタントに相談することをおすすめします。
なぜそれが重要なのかというと、企業の規模が小さいほどサイバー攻撃に対してのリスクを社内だけで正しく把握することは難しいからです。リスクの見積もり方を誤ると、有事の際に必要な補償を受けられなかったり、無駄な補償内容によってコストが肥大化してしまう危険性があるため、第三者の専門的な意見が必要なのです。
そこで相談先としておすすめできるのが、「マネーキャリア」というサービスです。
マネーキャリアは「株式会社Wizleap」が運営するオンライン無料保険相談サービスであり、保険のことについてFP(ファイナンシャルプランナー)資格等を保有した「保険のプロ」に、何度でも無料で相談できます。
まとめ
企業のIT化・グローバル化がより一層進む現代だからこそ、企業はその規模を問わずサイバー攻撃という現実的な驚異に備える必要があります。
どれだけ信頼性の高いセキュリティを構築しても100%安全だと断言できる企業はありません。リスクが過小評価されやすい中小企業こそサイバー保険への加入を検討し、万が一のときもすぐに業務を立て直せる準備をしておくことをおすすめします。
