◇SH1077◇金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析(15) 木嶋謙吾(2017/03/24)

未分類

金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析

第15回 Report on Cybersecurity Practices  FINRA(9)
―—サイバー保険(2)

株式会社FOLIO フィンテックコンプライアンスアドバイザー

木 嶋 謙 吾

 

高額化する米国の損害補償金額

 Sony Pictures Entertainment社のハッキング事件でコンピュータ修繕費用、交換費用、サイバーセキュリティ強化費用、逸失利益等で1億ドル近い費用が発生したと試算されたが、そのすべてがサイバー保険の保証の範囲内であったと報道されている。一般的に損害賠償金額、訴訟費用が高額で海外の損害に対応する米国のサイバー保険の補償金額は我が国のサイバー保険の保証金額よりはるかに大きいものと考える。I.I.I.(Insurance Information Institute/米国保険情報協会)によると、米国のサイバー被害の平均損害金額は700万ドルに達している。60社ほどの保険会社がサイバー保険を商品化していて、2016年1年間に支払われた保険料金額は約32億5000万ドルと言われている[1]

 

日米のサイバー保険内容に大きな差はない

 日米のサイバー保険で共通する主な保証内容(但し、保険会社によって保証内容は異なる。特約も含まれる)は以下のとおりである。

  1. ① 損害賠償金(損害賠償金、訴訟費用)
  2. ② 原因調査費用
  3. ③ コールセンター費用
  4. ④ データ復元費用
  5. ⑤ コンサルティング費用(日本では初期対応費用特約が含まれる)
  6. ⑥ フォレンジック費用(犯罪捜査や法的紛争などで、コンピュータなどの電子機器に残る記録を専門家が収集・分析し、どのようにハッキングやデータの盗搾が行われたかその法的な証拠性を明らかにする)
  7. ⑦ 逸失利益(営業が休止しまたは阻害されたために生じた損害のうち、付保経常費および事故がなかったならば計上することができた営業利益の額)
  8. ⑧ 収益減少防止費用
  9. ⑨ 営業収益に相当する額の減少を防止または軽減するために事故発生の後、支払期間終了までに生じた必要かつ有益な費用のうち通常要する費用を超える部分)
  10. ⑩ クライシス・マネージメント(米国の保険には米国固有の内容がある。(例) クレジットモニタリング費用、D&O[2]
  11. ⑪ 課徴金も含めた行政手続きの費用(個人情報漏洩、不正アクセス等について、被保険者が監督官庁などの公的機関により支払いを命じられた課徴金)
  12. ⑫ 外部委託に関する賠償(委託先による情報漏洩に起因して被保険者に対して損害賠償請求がなされた場合に、被保険者が負担する損害賠償金、争訟費用等の損害)

 

米国特有の商品内容

 米国独特のサイバー保険保証内容は以下のとおりである。

  1. ① Cyber Extortion(恐喝)(会社ネットワークへの恐喝に関する示談金とブラック・メーラー発見の為の調査会社費用)
  2. ② 犯罪者報奨金(サイバー犯人逮捕に関連する情報提供者への報奨金)

 

日本特有の商品内容

 日本特有のサイバー保険保証内容は以下のとおりである。

  1. ① 見舞金(金券等の購入費用)
  2. ② お詫び状作成・郵送費用
  3. ③ 謝罪広告費用(米国にもPR費用はあるが、謝罪というよりはどのように将来的な信頼を回復するかが目的)

 

サイバー保険普及に向けての米国政府の試み

 米国でサイバー保険が急速に広まったのは、サイバーテロ、サイバー攻撃の急増が主因ではあるが、米国政府がサイバー保険に対する企業の認知度が低い頃から、サイバー保険の定着に向けて様々な方策を検討、実行して来たことも見逃せない。サイバーリスクは保険会社や再保険会社がこれまで引受けてきた損害のリスクとはまったく異質であり、サイバー犯罪の手口の巧妙化により、犯罪の拡散のスピードが速い。保険会社は合理的な確証に基づいてシステム復旧のコストを見積もるが、ブランドのレピュテーションの失墜、クライアント、サプライヤー、その他の関係者への補償に伴う損失を計算するための過去のデータが不足している。例えばパブリッククラウドの利用などは技術的進化のスピードが早く、パブリッククラウドに対するサイバーセキュリティ対策は複雑で専門的な知識が要求される。米国政府はサイバーテロ/サイバー攻撃に関する積極的な情報共有を担保すること、政府によるミニマムスタンダードの導入によりサイバーセキュリティのベストプラクティスを確保し、保険会社または再保険会社がサイバーリスクを判断しやすくできる効果があると戦略的に考えていた(結果として保険料を引き下げ、多くの会社のサイバー保険加入が促進される)。その効果を高めるために、連邦政府による再保険の引受け(サイバー・ハリケーンと呼ばれる破壊的なサイバー被害により保険会社や再保険会社がリスクを恐れ保険料を引き上げる事態を想定した対策)、支払い余力を増やす為の再保険会社への減税措置も議会で検討されたことがある[3]

 2011年10月、SECは投資家保護と上場会社の情報セキュリティに対して高い意識を持たせることを目的として、サイバー・セキュリティ・リスクとサイバー・インシデントに関するCF Disclosure Guidance:Topic No.2を公表した。インシデントにより当該上場会社への投資が ”speculative or risky” となる場合には、上場会社は以下の項目に関して開示することが求められている。

  1. ① 盗搾された資産、情報、修理費用を含む回復費用
  2. ② インシデント結果による、組織変更、人事、研修、コンサルタント利用費用を含むサイバーセキュリティ対策費用
  3. ③ 逸失利益
  4. ④ 訴訟内容
  5. ⑤ 顧客、投資家へのレピュテーション・ダメージ

 

我が国の対応

 経済産業省が2015年12月、経営者がサイバー攻撃から企業を守るための理念や行動を記した「サイバーセキュリティ経営ガイドライン」(以下「経営ガイドライン」という)を公表した[4]。経営ガイドラインの規程を順守すればサイバー保険の割引が受けられる場合があり、保険料を引き下げることによりサイバー保険加入が促進される効果がある。更に金融ISAC[5]を含む情報共有機関等を通じた情報共有網の拡充が進められている。金融ISACには損害保険会社も加入している。金融機関間の情報共有により、損害保険会社はサイバーセキュリティ・リスクに関する情報収集が可能となる。ただし、我が国ではサイバーリスクの評価の経験値が少ないことから、サイバー保険の再保険が育っていないため、保険会社が提供するスタンダードプランの補償金額の上限金額は1億円または10億円が基本となっている。この上限金額だと大手金融機関が想定する損害金額との乖離率が大きいので、カスタマイズしない限り利用しにくいと推測する。更に、顧客に損失が発生した場合、サイバー保険の損害金額の確定には裁判所での決定金額が参考になるため、原則として顧客が金融機関に提訴して損害金額が裁判所で確定しなければ、保険金は受け取れない仕組みになっている。

 

[1] http://www.iii.org/press-release/us-cyber-insurance-market-grows-amid-data-breach-concerns-111016

[2] サイバーセキュリティに関する会社の取締役、役員を含むディシジョンメーカーの賠償責任が含まれる。

[3] https://www.whitehouse.gov/files/documents/cyber/ISA%20-%20Cyber-Insurance%20Metrics%20and%20Impact%20on%20Cyber-Security.pdf

[4] http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html

[5] 2014年8月、金融機関同士でサイバー攻撃などの情報を共有するための組織「金融ISAC」が発足した。 公表することが難しい、標的型攻撃やフィッシング詐欺、不正送金、DDoS攻撃、ゼロデイ攻撃などの手口や被害に関する情報を会員金融機関同士で共有する。 

タイトルとURLをコピーしました