フォレンジック費用も含めたサイバー攻撃損害保険：不正アクセスのほかミスや従業員の不正も対象

　AIU保険は1月23日、個人情報や企業情報が漏洩した場合に損害を補償する保険「CyberEdge」に関する説明会を開催した。

　同社は2004年から「個人情報漏洩保険」を販売している。新保険のCyberEdgeは、損害賠償の補償に加えインシデントの調査に要する費用や逸失利益までカバーすること、また補償対象地域を全世界に広げていることなどが特徴という。

　CyberEdgeがカバーするのは、外部からの不正アクセス、あるいは操作ミスや従業員の不正によって情報が漏洩した場合の損失だ。実際にはケースバイケースとなるというが、PCの置き忘れ、紛失による情報漏洩も補償の範囲内となる。

　補償の範囲には、顧客や取引先から請求された損害賠償のほか、課徴金も含めた行政手続きの費用、顧客への通知や記者会見の実施とそれに関するコンサルティング、問い合わせ対応のためのコールセンター設置まで含めた危機管理対応費用などが含まれる。被害範囲の確認や原因調査のためのフォレンジックサービスに要する費用や、日本特有の慣行である「見舞金／見舞い品」の費用も補償対象となる。

　さらにオプションで、不正アクセスによってサーバがダウンするなど、コンピュータネットワークが中断した場合の逸失利益に対し保険金を支払う契約を結ぶことも可能という。

　加入に際しては事前に、業務委託先との契約内容なども含め、企業のセキュリティ／リスク管理体制を問う質問書に答える必要がある。パッチ適用など基本的なセキュリティ対策が実施されていないと判断される場合は、引き受けを拒否される可能性もある。

　その上で、保険の適用範囲などを考慮して保険料を決めるが、目安として「売上高100億円規模のIT企業で、最大5億円を補償限度額とした場合、年間400万円程度」（同社 経営保険業務部課長 阿部瑞穂氏）という。

　阿部氏は、日本ネットワークセキュリティ協会（JNSA）の情報漏洩事件に関する調査によると、漏洩の原因としては操作ミスなどのヒューマンエラーが多数を占めるほか、件数ベースで見ると不正アクセスも3位に上っていることを指摘。さらに、同社が日本の経営者200人に対して行った意識調査でも、「情報漏洩に関するリスク」を脅威とする経営者が81.0％に上ったと説明し、CyberEdgeでこうしたリスクへの対応を支援していきたいとした。