ランサムウェアが世界的に脅威をふるうなど、企業が抱えるサイバーリスクは増大している。いまやあらゆる企業がサイバーリスクにさらされており、いざという時のための備えが必要となってきた。そこで注目を集めているのがサイバーリスクに対する保険だ。自動車や家屋同様、損害保険会社が取り扱うサイバー保険(あるいは情報セキュリティ保険)、国内の主だった損害保険会社から提供されている。そのマーケットに欧州から乗り込んできたのが、HDI Global保険という法人向け保険会社だ。世界3位のGDPを誇る日本市場だが、サイバー保険に関しては未だブルーオーシャンのようだ。
損害賠償から広報費用までカバー
HDI Global ファイナンシャルライン本部長のパトリック・スモルカ氏(右)左は日本支店代表のウヴェ・シーヴェス氏この時期の日本市場進出の背景について、ファイナンシャルライン本部長のパトリック・スモルカ氏は「もともとマーケットが大きく、クライアントが多い。IoT(Internet of Things)などデジタル化が進み、日本では多くの企業がサイバー保険の対象となるコネクティビティを強化している。一方でサイバーインシデントが増加していることから、日本でサイバー保険のニーズが高まると確信した」としている。
実際にサイバー保険では、どのような補償がされるのか。具体的な内容を、HDIのサイバー保険「サイバープラス」で確認してみる。
HDIのサイバー保険「サイバープラス」では、3つのコンポーネントを用意している。それが賠償責任に対する補償、利益損失に対する補償、その他攻撃された際に発生する様々な費用に対する補償だ。
賠償責任に対する補償は、サイバー攻撃によってもたらされた、クライアント企業のユーザーに対する賠償金を補償するもの。クライアントのシステムからそのユーザーの個人情報が漏洩した場合など、ユーザーが訴えを起こした場合、損害賠償金が発生することになる。これを補償するというものだ。賠償金のほか、和解金や弁護士費用もカバーする。
利益損失に対する補償は、サイバー攻撃によってクライアントが被る利益損失を補てんするもの。例えばDDos攻撃などでクライアントのオペレーションに支障が出ると、利益の喪失が生じる。その営業中断による利益損失の補填や緊急対応用の費用などが対象となる。
そのほか、原因調査費用やデータ復旧費用、専門のコンサルティングを受ける費用、ブランドイメージの失墜を避けるためにメディアコンサルタントを雇う費用や記者会見などの広報費用までが含まれる。
更に、「事故の恐れ」がある段階でも利用できる。例えば、実損はないものの、どうやらサイバーアタックを受けたらしい、という際に、あらかじめ契約しているコンサルタント会社に調査を依頼した場合の費用だ。結果的にサイバーアタックがなかったとしても、補償対象になるという。
ただし、違約金や罰金については、日本の法律では保険で支払ってはいけないことになっているので対象外となる。例えば、マイナンバーでは特定個人情報や個人番号を不正に漏洩、取得した場合に150万円以下、個人情報保護委員会からの命令違反や委員会への虚偽報告では50万円以下の罰則規定があるが、これらは対象とならない。ちなみに、米国やシンガポールでは、罰金を保険で支払うことができるそうだ。
HDIでは、クライアントと標準的なカバレッジ以外にどうリスクトランスファーを設定すればよいかを話し合いながら、その企業にとってベストなソリューションをカスタマイズして提供している。グローバル展開している企業については、各国の事情に合わせてカスタマイズしている。
補償範囲は最大で50億円にのぼる。HDIでは最大50億円の範囲で補償する。無論、何から何まで希望したものを補償してもらえるわけではなく、HDIがクライアントのリスク評価を行ったうえで補償額は決まる。
スモルカ氏によると「欧州では、サイバー保険に対する見積もり依頼がここ半年ほどで急増している」そうで、特に大企業からのオファーが多く、大企業にもかかわらず意思決定までの期間も短くなっているという。
Industry 4.0で知られるドイツ同様、第4次産業革命を掲げる日本でもIoTの普及は目覚ましく、「日本でのサイバーソリューション販売のポテンシャルは高い」と強気の姿勢を示している。その日本での目標は「サービスクオリティのリーダーになること」だそうだ。
