「サイバーセキュリティ保険」選びで失敗しない“3つのポイント”とは？：「サイバーセキュリティ保険」を正しく理解する【第3回】（1/3 ページ）

企業はサイバーセキュリティ保険をどのような視点で選定すべきなのか。保険料はどのような仕組みで決まるのか。詳しく説明する。

[阿部欽一，著]

　2012年12月にAIU損害保険が「CyberEdge」（サイバーエッジ）を発売してから、国内の大手損害保険会社が相次いでサイバーセキュリティ保険商品の販売を始めた（表）。

表　主要なサイバーセキュリティ保険

商品名	提供保険会社	販売開始
CyberEdge	AIU損害保険	2012年12月
サイバーリスク保険	東京海上日動火災保険	2015年2月
サイバーセキュリティ総合補償プラン（注1）	三井住友海上火災保険	2015年9月
サイバーセキュリティ保険（注1）	あいおいニッセイ同和損害保険
サイバー保険	損害保険ジャパン日本興亜	2015年10月

※注1：三井住友海上火災保険と、あいおいニッセイ同和損害保険が共同開発し、それぞれの名称で販売。

サイバーセキュリティ保険の選び方をチェック

　サイバーセキュリティ保険の補償内容は、一見すると各社横並びのように見えるが、各社の違いは確実にある。サイバーセキュリティ保険の内容を比較する際に、特に検討すべきポイントとして以下の3項目が挙げられる。

1. どのような損害を補償してくれるのか
2. 保険金支払いのトリガーはどこか
3. 使い勝手を高める工夫は

選定ポイント1：どのような損害を補償してくれるのか

　必ず確認すべきなのは、補償対象にしている損害だ。セキュリティ事案が発生してしまった場合、自社が被った利益損害や営業継続費用、第三者への損害賠償責任などを包括的に補償してくれるのかどうか。対象となるのは国内の事案だけなのか、海外で発生した事案を含むのか。免責事項はあるのかどうか――。このように確認すべき項目は多岐にわたる。

　例えば製造業や建設業といった多くの取引先を抱える企業であれば、システムダウンによる事業停止に伴う損害が大きくなる。EコマースやオンラインバンキングといったWebサービス事業者であれば、大量の個人情報を扱うことから情報漏えい時の損害賠償額が高額になりがちだ。自社のビジネスの内容によって、重視すべき損害に応じた補償内容を検討することが必要となる。

　新技術の普及に合わせて補償対象を広げる動きもある。東京海上日動火災保険はクライアントPCやモバイルデバイスといった従来の社内クライアントデバイスだけでなく、監視カメラや工場の制御機器、プリンタ、複合機といったネットワーク接続型デバイス（IoTデバイス）を適用対象にした。2016年後半に注目を集めたマルウェア「Mirai」は、OSにLinuxを採用したIoTデバイスに感染してbotネットを構成し、大規模な分散型サービス停止（DDoS）攻撃を仕掛けた。IoTを悪用したサイバー攻撃は今後も続くと考えられ、企業が安心してIoT活用に取り組めるようにする狙いだ。

　業種は限定されるものの、三井住友海上火災保険は2016年11月、仮想通貨「ビットコイン」の取引所を運営するbitFlyerと共同で、ビットコイン事業者向けのサイバーセキュリティ保険を共同開発した。サイバー攻撃によるビットコインの盗難や消失に対する損害賠償から、インシデント対応費用まで幅広く補償する。ITを使って新たなビジネスを生み出す「デジタルビジネス」の流れが加速する中、今後もサイバーセキュリティ保険の適用範囲が拡大しそうだ。

併せて読みたいお薦め記事

サイバーセキュリティ保険の生かし方

• 今更聞けない「サイバーセキュリティ保険」の真実、何をどう補償するのか？
• 「サイバーセキュリティ保険」がなかなか普及しない“本当の原因”とは？
• 「個人情報漏えい保険」に入ればセキュリティ対策は“激甘でよい”という勘違い

「IoT」のセキュリティリスクにどう対処するか

• 「Mirai」より凶悪な攻撃が起きる――IoTセキュリティが2017年に進むべき方向は
• NISTの「IoTセキュリティガイドライン」には何が書かれているのか

選定ポイント2：保険金支払いのトリガーはどこか