サイバー攻撃の被害を受けた企業に対し、被害を総合的に補償する損害保険である「サイバーセキュリティ保険」。企業は適切なサイバーセキュリティ保険を選択するに当たって、以下に示す8項目を確認するとよい。
- サイバーセキュリティ保険会社が契約企業を評価するプロセスが、自社のセキュリティポリシーに反しないかどうかを確認する
- サイバーセキュリティ保険プランの補償対象外となるのはどのような場合かを十分に理解する
- サイバーセキュリティ保険を契約する上では、何が補償対象外となるのかを理解する必要がある。さらに重要なのは、どのような基準で補償対象から除外されるのかを理解することだ。例えば暗号化されていないデータがデータ侵害時に失われた場合、そのデータは一般的には補償対象から外れる。
- データの暗号化と復号に使う暗号鍵の管理は、補償の重要な側面であり、セキュリティチーム、法務チーム、保険チームで議論する必要がある
- サイバーセキュリティ保険によっては、契約査定時に暗号鍵管理を確認対象にしていないことがある。
- サイバーセキュリティ保険プランは絶えず進化している点を忘れてはならない
- この業界は比較的新しく、技術や規制、法律、前例のないセキュリティリスクが急に現れるため、サイバーセキュリティ保険プランはすぐに時代遅れになってしまう。契約するプランが、最新の法制度を常に順守できるようにすることが重要だ。
- サイバーセキュリティ保険プランは、100%理解できる内容のものを選択する
- 保険ブローカー(保険仲立人:保険契約者の委託を受けて保険契約の締結を媒介する人)が専門用語を使わずに、そのサイバーセキュリティ保険プランの全ての側面を効果的に説明できるかどうかが目安になる。例えばそのサイバーセキュリティ保険プランが、クラウドに保存されたデータやサードパーティー組織がアクセスするデータをどのようにカバーするかに関して、理解可能な形で説明できることが重要だ。
- サイバーセキュリティ保険会社が、過去に保険金を支払わなかった事例が多いかどうか確認する
- 保険金支払いプロセスの詳細がどのようなものか、異論がどのように扱われるかを保険ブローカーに問い合わせる必要がある。
- 完全な補償を受けるために、保険契約時に自社の情報セキュリティプログラムの内容を正確に提示する必要がある
- 質問に正確に答えることが重要だ。回答が不正確だった場合、それが将来的にデータ侵害やデータ損失の引き金となった場合、サイバーセキュリティ保険会社に「契約時の情報開示に不備があった」と解釈され、補償を受けられない恐れがある。
- インシデント発生時に、サイバーセキュリティ保険会社が示すリストに含まれない専門家を起用したい場合は、インシデントの発生前に、サイバーセキュリティ保険会社の承認を取り付けておく必要がある。
- サイバーセキュリティ保険会社はインシデントが発生したら、審査を経た弁護士やデジタルフォレンジクス企業、PR会社のリストを、あらかじめ取り決めた料金の情報とともに提供する。
