「サイバーセキュリティ保険」の落とし穴と、契約時の8大チェック項目とは？：「サイバーセキュリティ保険」を賢く契約する【後編】

「サイバーセキュリティ保険」を選定、契約する際に確認すべきこととは何か。契約時に頭に入れておくべき“落とし穴”とは。簡潔に紹介する。

[Daniel Allen，TechTarget]

　サイバー攻撃の被害を受けた企業に対し、被害を総合的に補償する損害保険である「サイバーセキュリティ保険」。企業は適切なサイバーセキュリティ保険を選択するに当たって、以下に示す8項目を確認するとよい。

併せて読みたいお薦め記事

「サイバーセキュリティ保険」についてもっと詳しく

• 「サイバーセキュリティ保険」の3大タイプとは？　選定に失敗しないポイント
• GDPR適用開始で「サイバーセキュリティ保険」の保険料が増える？

連載：「サイバーセキュリティ保険」を正しく理解する

• 今更聞けない「サイバーセキュリティ保険」の真実、何をどう補償するのか？
• 「サイバーセキュリティ保険」がなかなか普及しない“本当の原因”とは？
• 「サイバーセキュリティ保険」選びで失敗しない“3つのポイント”とは？

サイバーセキュリティ保険選定・契約時の8大チェック項目

1. サイバーセキュリティ保険会社が契約企業を評価するプロセスが、自社のセキュリティポリシーに反しないかどうかを確認する
2. サイバーセキュリティ保険プランの補償対象外となるのはどのような場合かを十分に理解する
   • サイバーセキュリティ保険を契約する上では、何が補償対象外となるのかを理解する必要がある。さらに重要なのは、どのような基準で補償対象から除外されるのかを理解することだ。例えば暗号化されていないデータがデータ侵害時に失われた場合、そのデータは一般的には補償対象から外れる。
3. データの暗号化と復号に使う暗号鍵の管理は、補償の重要な側面であり、セキュリティチーム、法務チーム、保険チームで議論する必要がある
   • サイバーセキュリティ保険によっては、契約査定時に暗号鍵管理を確認対象にしていないことがある。
4. サイバーセキュリティ保険プランは絶えず進化している点を忘れてはならない
   • この業界は比較的新しく、技術や規制、法律、前例のないセキュリティリスクが急に現れるため、サイバーセキュリティ保険プランはすぐに時代遅れになってしまう。契約するプランが、最新の法制度を常に順守できるようにすることが重要だ。
5. サイバーセキュリティ保険プランは、100％理解できる内容のものを選択する
   • 保険ブローカー（保険仲立人：保険契約者の委託を受けて保険契約の締結を媒介する人）が専門用語を使わずに、そのサイバーセキュリティ保険プランの全ての側面を効果的に説明できるかどうかが目安になる。例えばそのサイバーセキュリティ保険プランが、クラウドに保存されたデータやサードパーティー組織がアクセスするデータをどのようにカバーするかに関して、理解可能な形で説明できることが重要だ。
6. サイバーセキュリティ保険会社が、過去に保険金を支払わなかった事例が多いかどうか確認する
   • 保険金支払いプロセスの詳細がどのようなものか、異論がどのように扱われるかを保険ブローカーに問い合わせる必要がある。
7. 完全な補償を受けるために、保険契約時に自社の情報セキュリティプログラムの内容を正確に提示する必要がある
   • 質問に正確に答えることが重要だ。回答が不正確だった場合、それが将来的にデータ侵害やデータ損失の引き金となった場合、サイバーセキュリティ保険会社に「契約時の情報開示に不備があった」と解釈され、補償を受けられない恐れがある。
8. インシデント発生時に、サイバーセキュリティ保険会社が示すリストに含まれない専門家を起用したい場合は、インシデントの発生前に、サイバーセキュリティ保険会社の承認を取り付けておく必要がある。
   • サイバーセキュリティ保険会社はインシデントが発生したら、審査を経た弁護士やデジタルフォレンジクス企業、PR会社のリストを、あらかじめ取り決めた料金の情報とともに提供する。

サイバーセキュリティ保険の“落とし穴”に注意