6月27日、AIGグループのAIU損害保険は「サイバーリスクの最新動向」と題した説明会を開催した。サイバー攻撃による損害を包括的に補償するサイバー保険「CyberEdge」を展開する同社は、保険会社から見たサイバーリスクの最新動向と今後のリスクについて説明した。
保険会社がサイバーリスクを語るのは「リスクを知っているから」
保険会社がサイバーリスクについて語るというユニークな説明会。登壇したAIU損害保険 企業賠償・経営保険部 部長補佐の阿部瑞穂氏は、現在AIGグループが展開している「アクティブケア」というコンセプトと、保険会社がサイバーリスクについて語る意義について説明する。
購入した瞬間から価値やメリットを得られる商材と異なり、保険は火災や盗難、病気、ケガなどが起こり、保険金がおりたときに初めて価値を感じることができるという性格を持つ。とはいえ、加入した10人が10人とも被害に遭うわけでもなく、火災や盗難、病気、ケガなどはむしろ起こらない方がよいに決まっている。これに対して、AIGグループが推進するアクティブケアでは、保険を購入することでリスクについて知り、事前に対応できるという価値を提供するという。
今回の説明会のように「保険会社がなぜサイバーリスク、サイバー犯罪について語るのか?」という疑問も、このアクティブケアのコンセプトに紐付いている。「これは必ずしも技術的なリスクだけではなく、ビジネス運用上のリスク、行政対応のリスクなど、さまざまなリスクについて保険会社は網羅的に知っている」(阿部氏)とのことで、情報提供を積極的に行ない、保険の価値を感じてもらうところに意義があるという。
サイバー保険を検討するのは総務部か、情シスか?
阿部氏が開発に携わったサイバー保険とは、サイバー攻撃を受けたときの賠償責任、対応費用、課徴金、逸脱利益などを包括的にカバーする企業向けの保険商材を指す。いわゆる「情報漏えい保険」よりもカバー範囲が広く、サイバー攻撃を受けた際のフォレンジックのほか、情報漏えいが起こった場合の危機管理、危機管理のための通知や実行、さらには訴訟対応までトータルサポート。契約内容に基づき、謝罪会見の開催、コールセンターの設置、見舞金・見舞品の調達や送付、訴訟を受けた場合の弁護士や損害賠償などのコストを補償するという。
調査会社によれば、こうしたサイバー保険はグローバルで2000億円の市場があり、2020年までで8000億円に伸びるという。ただし、国内の市場では現状90億円程度にとどまり、認知度はまだ低い。加入率に関しても米国が44%に対し、日本では5.5%。いわゆる「情報漏えい保険」をあわせても14.5%にとどまるという。
2012年から5年に渡ってサイバー保険「CyberEdge」を展開してきたAIU損害保険も、発売当初は苦労したという。「損害保険は通常総務部が担当することが多いのですが、サイバーという名前が出るとIT部門になる。でも、IT部門からは保険は管轄していませんと言われてしまう」とのことで、リスクマネージャーが存在し、全社横断的に対応する欧米企業と大きく異なるのが現状だ。
とはいえ、この3年で見れば、年々1.5倍ペースで成長しているのも事実。2015年に経産省から出された「サイバー経営ガイドライン」で、サイバー犯罪が経営上のリスクであると明記され、国内の保険会社が同様の商品を展開し始めたことで、導入の機運が高まったという。特にサイバーリスクの危険性を認知しているIT企業と、トップが意思決定に関わることが多い中堅企業が先行している導入している状況だという。
保険会社から見た日本企業が注意すべきサイバーリスクとは?
現在、日本企業が注意すべきリスクは、海外拠点のリスク管理だ。AIGが2013年に調査したところ、海外拠点のリスク管理について不十分だと答えた企業は全体の7割にのぼったという。実際、日本企業が海外に展開する際も、営業系が先で、管理系は後回しになる例は多い。阿部氏は、「米国にある工場で火災が起こっても、他の拠点に与えるリスクは低いが、サイバー攻撃はグローバルで行なわれることが多い。だから、海外の子会社を経由して、本社を攻撃するといった事態がありうる。業界を震撼させているWannaCryの事件でも、海外の工場がやられていることが多い」と指摘する。
また、注意すべきはヨーロッパで特に被害の多いランサムウェア。しかも情報漏えいではなく、事業継続を脅かすものとして注意を払うべきだという。「海外の保険ブローカーと話していると、最近は情報漏えいのための保険ではなく、事業継続のためのプロテクションという風にメッセージが変わっている」と阿部氏は指摘する。
一方、2004年から保険商材として展開している情報漏えいに関しては、ヒューマンエラーが原因となることが多いという。PCに入った鞄を電車に置き忘れたり、謝って別の人にファイルを送ってしまうという事故は昔から一定数起こっているという。とはいえ、大規模な支払いが起こっている事案では、不正アクセスによる情報漏えいも増えているという。阿部氏は、「報道上は大企業から情報漏えいしたというケースでも、実は子会社や取引先から漏えいし、損害賠償に発展することも多い。大企業と取引がある場合は、中小企業でも狙われる。売上高数億円という会社で、賠償金が数億円ということもある」と警鐘を鳴らす。
今後サイバーリスクは物理的なリスクへ
今後注目されるリスクは、来年から欧州で施行されるいわゆるGDPR。欧州において個人情報を取り扱う場合は、日本企業であっても対象になり、最大2000万ユーロ(約25億円)もしくは売上高の4%が課徴金として化せられる点は大きなリスクと言える。インシデント発生から72時間以内に当局に報告しなければならないという義務も大きく、「法改正を見据え、現地とどのようにやりとりするか、インシデント報告が来たときにどのように対応するか、事前にきちんと詰めておかないと、72時間での対応は難しい」と阿部氏は指摘する。
企業のサイバーリスクが高まり、ステークホルダーへの情報開示が進む中、最近は業界内でのガイドラインにおいても、サイバー保険への加入を促されることも増えているとのこと。また、企業間取引の条件である「付保要請」の中でサイバー保険が取り上げられることも増えており、サイバーリスクに対する賠償能力や保険会社による審査結果が、取引先を信頼させることも多いという。
こうした中、阿部氏はサイバー保険の価値として、「審査時にリスク対策の現状に関する気づきを与えられる」「リスク改善が進めば保険料を減る可能性がある」「有事が発生した場合のサポートが受けられる」「リスクマネジメントと信用力を表すバロメーターとなる」の4点を挙げる。阿部氏は、「最初は情報漏えいのリスク、現在は事業継続のリスク、そして今後はIoTの普及とともに物理的なリスクに変化してきている。AIGグループでも、こうしたリスクに対する新しい商品開発を進めている」と述べ、さまざまな情報提供と新サービスの提供を続けていくと締めた。
なお、AIU損害保険は富士火災と経営統合し、2018年1月1日からAIG損害保険として生まれ変わる。現AIU損害保険 代表取締役兼CEOで、AIG損害保険でも同職を引き継ぐケネス・ライリー氏は、「今後もアクティブケアのコンセプトを元にお客様に情報を提供しながら、まさかのときだけではなく、まさかが起こらないようにしていく。『リスクを知れば、運命が変わる』という高い目標を掲げて、AIG損害保険の戦略を進めていく」と語った。