今回は、アメリカのサイバー保険の補償内容についてご説明いたします。
はじめに
サイバーリスクと6つの対策について
サイバーリスクは、サイバー攻撃だけに限られません。また、常に私たちが被害者であるとも限りません。加害者になる場合もあります。
なお、サイバーリスクを減らすための対策は大きく6つあります。
サイバーリスクの全体像、分類、および6つの対策の詳細については以下の記事をご参照ください。
リスクコントロールとリスクファイナンシング
リスク(risk)を管理(manage)するリスクマネジメント(Risk Management)の手法は2つあります。
その2つとは「リスクコントロール」と「リスクファイナンシング」です。
- リスクコントロール・・・「損害や事故を防ぐ・軽減する」取り組み
- リスクファイナンシング・・・「損害や事故によって必要となる資金を調達する」取り組み
別の記事でご紹介している、「6つの対策」はリスクコントロールに関するものです。
今回ご紹介する、サイバー保険はリスクファイナンシングの手法の一つです。
リスクコントロールとリスクファイナンシングについての詳細についてはこちらをご覧ください。
アメリカのサイバー保険の補償内容について
日本よりも先にサイバーリスクが顕在化したアメリカでは、サイバーリスク対策としての保険商品の開発においても日本に先んじています。
今では日本でもサイバー保険は商品化されていますが、アメリカのサイバー保険の補償の中には、日本のサイバー保険にはないものもあります。
なお、アメリカのサイバー保険の具体的な補償内容やその呼称は保険会社によって異なります。また、それぞれの保険会社によっては取り扱っていない場合もあります。
したがいまして、これからご説明するアメリカのサイバー保険の補償内容については、あくまで体系化、集約化した一般的な説明であることをご理解ください。
電子データ復旧費用
「電子データ復旧費用」では、サイバー攻撃などによって損害を受けた電子データを復旧するのにかかった費用を補償します。
電子データ復旧費用には以下のものが含まれます。
- 電子データの復旧費用
- ソフトウエアの再購入費用
身代金費用
日本でも「ランサムウェア」が知られていますが、「ランサム(ransom)」とは「身代金」のことです。
「身代金費用」では、サイバー攻撃により重要な電子データが盗まれたり、保護をかけられたりして、その重要データと金銭との交換を加害者側(ハッカーなど)から要求された場合の費用を補償します。
なお、身代金費用を保険で備えることには以下の問題があります。
- 身代金目的のサイバー攻撃が増えてしまう
- 保険加入の安心感から、企業が身代金目的のサイバー攻撃への対策を怠ってしまう
- それらの結果、犯罪行為を助長することになってしまう
これらのような理由から、日本のサイバー保険では身代金費用の補償は一般的ではありません。
また、もし企業が身代金費用を補償するサイバー保険に加入していることを公表すると、サイバー攻撃の対象となりやすくなってしまいます。
そのため、保険契約者である企業と保険会社との間では、身代金費用を補償するサイバー保険に加入していることを対外的に開示しないことを条件に、身代金費用の補償に関する契約が締結される場合があります。
サイバー犯罪による損害
「サイバー犯罪による損害」では以下のような損害が補償の対象となります。
- ハッカーが企業内のオンラインバンキングに不正侵入し、金銭を引き出したことによる損害
- ハッカーが請求書を改ざんし、別の振込先に多額の金銭を振り込ませたことによる損害
- 電子データが破壊され、復旧不可となったことによる損害
なお、「サイバー犯罪による損害」の補償は、一般的に提供されているものではありません。それは次の理由によるものです。
- 電子データの損害などは、被害の総額を数値化することが難しいため。
- サイバー犯罪による損害は高額化しやすいため。
日本においても「サイバー犯罪による損害」の補償は一般的ではありません。
事故対応費用
「事故対応費用」は、サイバーリスクによって損害が発生している間、あるいはその後に費やされる、以下のような費用を補償します。
- 会見、マスコミ対応
- 取引先や顧客への通知
- コールセンター設置
上記の費用は、風評被害を避けるため、また、取引先や顧客との関係をつなぎとめるために重要な役割を果たします。
事業中断による損害
もし組織の基幹システムがサイバー攻撃を受けたことで業務を中断せざるを得なかった場合、以下の損害を受ける場合があります。
- 事業中断により本来得られるべきであった事業利益が減少することによる損害(収益の減少)
- 業務復旧のために通常であれば負担することのない費用を負担したことによる損害(追加費用の拠出)
「事業中断による損害」ではこれら2つの損害を補償します。
なお、業務復旧のために通常であれば負担することのない費用を負担したことによる損害(追加費用の拠出)の例は以下の通りです。
- システム、ウェブサイト、データの復旧費用
- 損害の原因調査費用
- 仮サイトの立ち上げ
- 復旧に従事した従業員の時間外労働の補償
ネットワークセキュリティの賠償責任
自社のネットワークセキュリティがサイバー被害を受けたことで、第三者に損害を与えてしまうことがあります。
「ネットワークセキュリティの賠償責任」では、そのような第三者への賠償責任に伴う損害を補償します。
具体例は以下の通りです。
- 顧客から預かっていたデータがサイバー攻撃で損壊されてしまい、顧客から賠償を求められた
- 自社がサイバー攻撃を受けたことで顧客へのサービス提供ができず、顧客からの補償を求められた
- 不正なアクセスにより顧客の銀行口座から勝手に資金が引き出され、顧客から損賠賠償の請求をされた
プライバシーの賠償責任
「プライバシーの賠償責任」においては、個人情報の流出に伴う賠償責任の損害を補償します。
なお、個人情報の流出は、サイバー攻撃だけが原因ではありません。日本でも、個人データが含まれたハードディスクを適切に廃棄しなかったことで大量の個人データが流出した事件がありました。
また、加害者が社内に存在する場合もあります。お金に困った従業員が、転売して利益を得ることを目的に、顧客情報を自分の勤める企業から不正に持ち出すケースもあります。
かつては500円程度が相場とされた個人情報流出1件あたりの賠償額・見舞金も今は高額化しています。したがって、多くの個人情報を扱う組織にとって、大量の顧客情報の流出は死活問題と言えます。
電子メディアの賠償責任
「電子メディアの賠償責任」では、電子メディアを介した、以下のような行為による賠償責任の損害を補償します。
- 誹謗(ひぼう)中傷、名誉毀損
- 侮辱
- 他人の宣伝手法の盗用
- 事実に基づかない宣伝
ウェブサイト上で、本来の製品の機能とは異なる、誇張した広告で顧客に製品を販売してしまい、その後、顧客から損害賠償を求められたようなケースが該当します。
職業上の賠償責任
サイバー上でのサービスや製品製造に関して、その組織(企業)の技術や品質の責任が問われることもあります。
「職業上の賠償責任」では、そのようなプロとしての腕前に関する賠償責任による損害を補償します。
例は以下の通りです。
- コンサルタントとしてあるソフトウエアの導入を顧客企業に勧めたが、そのソフトウェアの不具合により顧客企業のシステムが故障し、損害賠償を請求された
このようなリスクは、プロとしての腕前、技術に関するものであり、日本のサイバー保険では一般的には取り扱っていません。
知的財産の賠償責任
知的財産とは以下のような財産です。
- 著作権
- 商標権
- 特許
- 企業秘密
「知的財産の賠償責任」では、これら知的財産の開発者・所有者が持つ正当な権利を不当に侵害してしまったことによる賠償責任の損害を補償します。
今やインターネット上であらゆる情報が飛び交っていて、ウェブ上にある文章やデザインなどは簡単に真似することができます。ちょっとしたでき心でこれらの文章やデザインを「借用」してしまうと、正当な権利を持つ者から権利侵害として賠償責任を問われることになります。
また、知的財産の開発者・所有者との取り決めを守らずに、本来の取り決めとは異なる時期、方法でそれら知的財産の開示を行ってしまった場合も、知的財産への不当な侵害になりえます。
おすすめ記事・カテゴリー
まとめ
アメリカのサイバー保険 10の補償内容を解説!
- 電子データ復旧費用
- 身代金費用
- サイバー犯罪による損害
- 事故対応費用
- 事業中断による損害
- ネットワークセキュリティの賠償責任
- プライバシーの賠償責任
- 電子メディアの賠償責任
- 職業上の賠償責任
- 知的財産の賠償責任
最後までご覧いただき、ありがとうございました。
コメント