進化する「サイバーセキュリティ保険」、中小企業も加入するその理由とは?
情報漏えいやWebサイトの利用不能といった影響を及ぼすサイバー攻撃は、企業にとってビジネス上の大きなリスクになることが広く認知されつつあります。Allianz社による「Risk Barometer」のビジネスリスクTop10においても、2015年は5位であったサイバー攻撃が2016年には3位となり、「事業の中断」「市場の競争激化」に続いてリスクが高いとされています。
また、WORLD ECONOMIC FORUMによる「The Global Risks Report 2016」においても、サイバー攻撃はテロよりも起こりやすく、インパクトが大きいものとされています。こうした状況を受けて、保険業界もサイバー攻撃を企業の大きなリスクと捉え、サイバー攻撃に対応する保険商品が充実してきています。サイバー攻撃も自動車事故や自然災害と同様に、有事に備えるべきリスクとして認識されてきたのです。
「The Global Risks Report 2016」(資料:WORLD ECONOMIC FORUM)
http://www3.weforum.org/docs/Media/TheGlobalRisksReport2016.pdf
サイバー攻撃の種類は多岐に及びますが、近年もっとも脅威となっているのは「標的型攻撃」です。標的型攻撃は文字通り、特定の組織のみをターゲットとしたサイバー攻撃で、最終目的はその組織が持つ機密情報です。機密情報には個人情報はもちろん、財務情報や開発情報、特許情報なども含まれます。例えば国を代表するような大手製造業から新製品の開発情報が盗まれ、他国の競合企業が入手した場合は、国家レベルの損失になってしまいます。
サイバー犯罪者は、より弱いところ、よりコストをかけずに攻撃できるところを狙うようになってきています。大企業やグローバル企業はすでに高度なセキュリティ対策を構築しているため、ターゲットは大企業から中堅・中小企業へと移行しつつあります。特に日本では9割以上が中小企業であり、そのほとんどが大企業のグループ企業や委託先、下請け先になっているなど、大企業となんらかの接点を持っていながら、セキュリティ意識が低かったり、十分なセキュリティ対策を行う予算や人材が少なかったりという特徴があります。
では、実際にサイバー攻撃を受けた場合、どれだけの損害が発生するのでしょう。損害とは「損害賠償」「費用損害」「逸失利益」の合計です。損害賠償には、情報漏えいによって損害を与えてしまった人から請求される損害賠償金や、損害賠償に関する争訴費用や弁護士費用などが該当します。また費用損害には、漏えい後の対応で発生する費用や通信費用、社外問い合わせ対応費用、人件費、事故原因調査費用などの事後対応費用、謝罪広告などの広告宣伝活動費用、コンサルティング費用、見舞金や見舞品費用などが含まれます。逸失利益とは、サイバー攻撃による事業中断などで、本来得られるはずでありながら逸失してしまった利益です。
想定される主な損害(資料:株式会社インターリスク総研の資料より筆者作成)
いまこそサイバー攻撃による被害額の試算を
それでは、損害額を試算してみましょう。サイバー攻撃を受けた会社は個人向けのインターネット通販を行っており、従業員のPCが標的型攻撃によりウイルス感染、攻撃者はウイルスによる遠隔操作によってサーバから10万件の個人情報を盗み出します。また、流出した個人情報が悪用され二次被害も発生します。これにより会社に対応費用が発生するとともに、通販サイトの停止を余儀なくされ、年間売上げの約20%の逸失利益が発生したとします。
まず、被害者300名から損害賠償の訴訟を受けたとして、一人当たり20万円の損害賠償の支払いを命じられたとします。300名×20万円で賠償責任の費用は6000万円となります。費用損害は、被害者全員へのお詫びに3220万円、法律相談費用に20万円、問い合わせ対応体制の整備に860万円、被害者へのお詫びの品・金券の送付に6120万円、原因究明・再発防止策検討のための調査・準備に1000万円、クレジットカード再発行費用に1億800万円で、合計2億2010万円となります。賠償責任を加えると2億8010万円にも上ります。これに逸失利益として年間売上げの約20%が加わるほか、ブランドの失墜や銀行からの信用の低下、風評被害などが起きる可能性もあります。
こうしたサイバー攻撃による損害を補償するのが「サイバーセキュリティ保険」です。以前は情報漏えいに関連する費用のみを補償するオプションが一般的でしたが、最近ではサイバー攻撃による損害をほぼカバーする保険が数多く登場しています。総合補償の商品では、損害賠償金や見舞金・データ復旧、フォレンジックス費用などを含む「賠償・費用リスク」と、喪失利益や収益減少防止費用などを補償する「利益リスク」に対応します。
サイバーセキュリティ保険の保険料は、業種や年間売上高、支払限度額などによって決まります。例えば年間売上高50億円のソフトウェア開発業では、支払限度額5億円(賠償)および1億円(費用)の場合で約690万円の保険料になり、年間売上高10億円の保険代理業では支払限度額3億円(賠償)および1億円(費用)の場合で約60万円の保険料となります。
業種・業態・規模にかかわらず、企業や組織がサイバー攻撃の標的になる可能性のある現在、攻撃を受けたときの被害額や損害額を考えた場合、サイバーセキュリティ保険への加入は非常に有効であるといえます。自社がサイバー攻撃を受けた場合、どのくらいの費用がかかるのか、一度試算してみてはいかがでしょうか。