別記事(「医療分野のサイバーセキュリティ」「医療機関が知っておくべきサイバーインシデント対応の基本フロー」)では、医療機関を中心にサイバー攻撃の脅威と対応について解説しました。
今回は、業種を問わず中小企業が検討すべき「サイバー保険」について、その概要から選び方をまとめます。
サイバー保険とは
サイバー保険とは、サイバー攻撃や情報漏えいによって発生する損害を補償する保険です。ランサムウェア被害・個人情報漏えい・サービス停止による損害など、従来の一般賠償責任保険ではカバーされないサイバーリスクに対応します。
補償は大きく次の3つに分類されます。
① 損害賠償費用:顧客・取引先から損害賠償請求を受けた際の賠償金・争訟費用など
② 事故対応費用:原因・被害範囲の調査費用、データ復旧費用、お詫び広告費用など
③ 利益損害・営業継続費用:サイバー事故による営業停止中の利益損失や復旧費用など
さらに保険会社によっては、事前の「情報セキュリティ診断サービス」や、事故発生後の「専門事業者紹介・初動支援サービス」が付帯している商品もあります。中小企業はインシデント対応の専門人材が社内にいないことが多く、こうした付帯サービスは特に心強い存在です。
サイバー保険の必要性
「うちは小さな会社だから狙われない」という認識はもはや通用しません。ある調査によると、企業のサイバー保険加入率はわずか10%にとどまっている一方、サイバー攻撃の被害額は数千万円〜数億円に上るケースもあります。大企業と異なり、財務的な体力も小さい中小企業は被害が事業継続に直結するリスクが高く、だからこそ備えが重要です。経済産業省の「サイバーセキュリティ経営ガイドライン」でも、サイバー保険の加入がリスク移転策として推奨されています。
商品の種類
サイバー保険にはいくつかの種類があります。
1 一般企業向けプラン:サイバー攻撃・社内ミスによるサイバー事故全般をカバー。最も一般的な商品です。
2 情報漏えい特化型:情報漏えいに起因する損害に絞った補償です。顧客情報を多く扱う小売・医療・士業などに向いています。
3 IT業務向けプラン:システム開発会社やクラウド事業者など、IT業種特有のリスクや業務過誤に対応したプランです。
商品の選び方
保険商品を比較する際は、次のポイントを確認してください。
・ 補償額の上限:補償額が大きいほど保険料も高くなります。自社が抱える情報の量・取引先への影響・想定される復旧コストを考慮し、過不足のない補償額を選ぶことが大切です。
・ 事故対応サービスの有無:保険金の支払いだけでなく、専門家紹介・初動支援が付帯しているか。
・ 免責事項の確認:既知の脆弱性を放置していた場合やパッチ未適用の場合に補償対象外となるケースがあります。
・ ランサムウェア対応:身代金に関する補償の有無と条件を確認してください。
保険料・加入条件
保険料は「年間売上高」「業種」「セキュリティ対策の実施状況」「補償額の上限」などにより大きく異なるため、定価表はなく見積もりベースでの提示が通常です。加入時点での会社のセキュリティ対策が充実しているほど保険料が低く抑えられる傾向があります。
加入条件(告知事項)としては、現在のセキュリティ対策の状況(ウイルス対策ソフトの導入有無・バックアップ体制など)や、過去のインシデント発生履歴などを申告するのが一般的です。告知内容が事実と異なる場合、保険契約が解除され保険金が支払われないこともあるため、正確な申告が必要です。
損害保険会社・保険代理店などで取り扱っており、特に商工団体、ITベンダー経由では、会員向けに、割安な団体保険制度が用意されている場合もあるようです。
複数社から見積もりを取り、補償内容・付帯サービス・免責事項を比較したうえで検討することをお勧めします。
まとめ
サイバー保険は「セキュリティ対策をしていれば不要」というものではありません。どれだけ対策を講じても100%の防御が難しいことはもはや常識です。万が一の際に事業を守るための「最後の砦」として位置づけるものです。まずは商工会議所や損保代理店に相談し、自社のリスクに合った補償内容を確認することから始めてみてください。
サイバーセキュリティ対策のご相談は
↓
みよし市で行政書士開業準備中-山内IT相談室
