企業のサイバーセキュリティー被害を補償する損害保険「サイバー保険」を提供する損害保険ジャパン日本興亜。2018年からは子会社のSOMPOリスクマネジメントを通じて、脆弱性診断や監視サービスなどのセキュリティーサービスも手掛けている。

 サイバー保険の売れ行きやサービスに対する顧客の反応について、損害保険ジャパン日本興亜コマーシャルビジネス業務部賠償保険グループの出雲真平課長代理と越智秀大副長、SOMPOリスクマネジメントサイバーセキュリティ事業本部長の宮嵜義久取締役執行役員、事業企画部長の経堂恭執行役員に話を聞いた。

右から、損害保険ジャパン日本興亜コマーシャルビジネス業務部賠償保険グループの出雲真平課長代理、SOMPOリスクマネジメントサイバーセキュリティ事業本部長の宮嵜義久取締役執行役員、同社事業企画部長の経堂恭執行役員、出雲氏と同じ部署の越智秀大副長

サイバー保険はいつから販売しているのか。

出雲 2015年だ。それ以前も、個人情報保護法が成立した2003年ごろから個人情報漏洩の損害を補償する保険はあったが、セキュリティーに対する関心の高まりを受けて、サイバーセキュリティーの被害を包括的に補償する保険として提供することにした。

 日本では歴史の浅い商品だが、米国では2000年ごろから提供されており、20年ほどの歴史の中でかなりのノウハウが蓄積されている。海外保険事業を担当するSOMPOインターナショナルも米国向けのサイバー保険を販売しており、今夏にはその知見を生かしてリスクの評価方法などを見直し、商品内容を改定したところだ。

事故後の原因調査やお詫び対応、窓口設置のサポートが高評価

どのような範囲の損害を補償するのか。

出雲 個人情報漏洩はもちろん、情報システムが停止した場合の機会損失、取引先など第三者への賠償責任、訴訟費用、再発防止対策の費用まで、経済的な損害を包括的に補償する。企業向けの賠償責任保険の一種という位置付けになるが、特徴は原因の調査、情報漏洩が発生した場合の顧客への謝罪、風評被害を防ぐ広告などの費用までを網羅的にカバーしていることだ。

 日本では個人情報漏洩などが発生しても訴訟まで発展せず、おわびメッセージとQUOカード(クオカード)などの見舞品送付だけで収拾することが多い。契約企業からは、訴訟費用や賠償責任だけでなく、一般的な事後対応の費用まで柔軟にカバーできることを高く評価する声をもらっている。

 サイバー保険ならではの強みは、原因調査やコールセンター設置など事後対応をトータルコーディネートできる点。単に業者を紹介するだけでなく、SOMPOリスクマネジメントが窓口になって応対する。ここが保険加入者から一番評価されている。

保険の掛け金はどのように決まるのか。

出雲 企業が提出する告知書やヒアリングによってセキュリティーリスクを評価して、引き受け条件を個別に判断することになる。個別に判断するというと時間がかかりそうだが、これまでの契約実績に基づいてリスク評価のルールを作成しているので、代理店や営業担当者のレベルでも比較的短期間に条件を提示できるようになっている。

 例えば、業種や企業規模によって引き受け条件は変わってくるし、PCIDSS(Payment Card Industry Data Security Standard)やISMS(Information Security Management System)などで第三者からセキュリティー体制の認証を得ている企業であれば、そうでない企業よりは割安になる。

 基本的に性善説で評価しているが、仮に企業からまったく嘘の申告があれば生命保険と同じように告知義務違反になる。被害発生後にそうした事実が判明すれば、極端な場合、保険金を支払わないこともあり得る。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら