金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析
第14回 Report on Cybersecurity Practices FINRA(8)
―—サイバー保険(1)
株式会社FOLIO フィンテックコンプライアンスアドバイザー
木 嶋 謙 吾
米国当局によるサイバー保険加入の奨励
米国では金融機関のデジタル化により、あらゆるものがインターネットで相互につながるようになった結果、顧客の個人情報、会社の機微情報が盗搾、漏洩のリスクに晒されている。サイバー犯罪者は絶えず金融機関の弱点を探り、その手口は年々巧妙化している。攻撃元はアウトサイダーの場合が多いが、インサイダーが犯罪に手を染めることもあり、この場合、防御は更に困難になる。FINRA(Financial Industry Regulatory Authority/金融取引業規制機構)は金融機関に対してサイバー保険への加入を推奨している。
FINRAの調査では金融機関がサイバー保険に加入する主な理由は以下のとおりである。
- ① 証券会社の支払い能力を超える損害金等の補填。
- ② 既存の損害保険でカバーされない、メディア・顧客等への公表に係る費用、課徴金費用等の補填。
- ③ サイバー攻撃によるファイナンシャル・ステートメントへの影響の軽減策。
米国金融機関のサイバー保険への対応
金融機関はサイバー保険に関して以下の3つのケースを選択している。
- ① スタンドアローンのサイバーセキュリティ保険への加入。
- ② 既存の損害保険の中にサイバーセキュリティに関連した条項を追加する(例:fidelity bond[1]、E&O条項の追加)。
- ③ 限定的であっても既存の損害保険でカバーされるサイバーセキュリティ関連の条項に依拠する。
FINRAが2015年に実施したSweepと呼ばれる一斉検査の結果では、検査を実施した金融機関の61%はスタンドアローンのサイバーセキュリティ保険に加入し、11%が既存の損害保険にサイバー条項を追加する対応を実施し、28%が既存の損害保険に依拠していることが判明した。損害に対する自社の支払い能力を基準として補償金額と補償内容をカスタマナイズできる大手証券会社のスタンドアローンサイバー保険への加入率が高く、サイバーセキュリティ・リスクが限定的な中小証券会社は既存の損害保険にサイバー条項を追加するケースが多かった。金融機関は、サイバーセキュリティ保険は比較的新しい商品ではあるが最近は補償内容が多様化してきていて、中には比較的低価格の商品も出てきていると認識している。
米国金融機関のサイバー保険加入率が高い理由
サイバー保険加入に踏み切ったある金融機関の加入の理由として、サイバーセキュリティに関するリスクが著しく助長している状況認識、サイバー保険内容の充実、証券会社の既存の損害保険とサイバー保険とのギャップに対する正確な理解をあげている。更にはFINRAを始めとして金融当局が金融機関に対してサイバーセキュリティ・リスクの軽減策とインシデント発生時の経済的損失の補填手段としてサイバー保険への加入を強く奨励していることも米国の金融機関のサイバー保険加入率が高い理由となっている。
最近のウォール・ストリート・ジャーナル誌では米国の企業の3分の1はスタンドアローンのサイバー保険に加入しているとのレポート[2]があった。
日本では、サイバー保険の導入が米国よりも遅く、2012年にAIU保険会社がサイバー保険を発売したが、当初販売は進まなかった。その後、世界的なサイバー犯罪の増加を受けて、2015年に、複数の損保会社で、企業向けのサイバーセキュリティ保険の取扱いが始まった。サイバー犯罪は増加傾向にあるが、その件数と損害額は欧米に比べて日本は低水準にあり、サイバーリスクについての企業側の認知度は欧米のように高くない。「サイバーセキュリティ経営ガイドライン」では「サイバー保険の活用や守るべき資産について専門企業への委託を含めたリスク移転策も検討した上で、残留リスクを識別させていますか?」と記載があるが、特に奨励しているとまでは言えない。金融商品取引業者等向けの総合的な監督指針では、サイバー保険加入に関しては特に規程がない。
[1] 典型的には従業員の不正行為に対する損害補填条項
[2] http://blogs.wsj.com/moneybeat/2016/10/27/u-s-cyberinsurance-market-growth-is-slowing-down/