サイバーリスク保険に関する考察 - セキュリティコンサルタントの日誌から

以前某論文誌にサイバーリスク保険について書いたことがあるのですが、最近またサイバーリスク保険について説明する機会があったので、ブログにまとめておこうと思います。

論文執筆時の情報を元にしているため、古い記載がある可能性があります。ご容赦ください。

そもそもサイバーリスク保険とは？

サイバーリスク保険とは、セキュリティ事故発生に伴う損害を包括的にカバーする保険です。

理論的にいうと、リスク対応戦略（回避・軽減・転移・受容）における「リスク転移」の一つになると考えられます。このリスク転移としてのサイバーリスク保険は米国では評価されており、例えばLatham & Watkins 社は、「サイバー攻撃の最終防衛ラインとして保険が有効である」と指摘し、統合的なリスク管理として保険は有益なツールであると述べています*1。

私見ですが、サイバーリスク保険のメリットは大きく３つあると考えられます。

メリット１：残存リスクのカバー

インターネット等ITの恩恵を受ける限り、セキュリティリスクがゼロになることはないと思われます。そのため、対策を頑張っても程度の差はあれ、残存リスクは存在します。特にあまり予算が潤沢でないと企業ではなおさらです。サイバーリスク保険は、その残存リスクをカバーする一つの方法になります。

メリット２：被害額の固定費化

セキュリティインシデントの一つの特徴として、被害額（対応費用）が予測できないという点にあります。その理由は漏洩データ件数に大きく依存するためです。漏洩データ件数が多ければ調査にも時間を要しますし、顧客対応費用（お詫び金、顧客問い合わせ窓口の問い合わせ件数）も増加します*2

サイバーリスク保険は、その費用についてX円（例えば１億円）までは補填するというサービスになるため、保険金により費用が固定できます。

メリット３：セキュリティ・リスク管理レベルの底上げ

サイバーリスク保険に加入する際に、当然一定水準のセキュリティが求められます。時際、過去には英エネルギー企業がセキュリティ対策が弱すぎることを理由に保険加入を拒否されたケース*3が存在します。

また、保険会社のサービスの一環として、リスク診断など実際のリスクを簡易的に測定してもらうことができます。もちろん簡易的な診断ですから、概要把握にはとどまると思われますが、判断に必要な情報が手に入るという点は大きいと思います。

サイバーリスク保険は普及しているのか？

米国では、規制による罰金や集団訴訟も多いため、一般的なリスク対応戦略として知られています。

例えば、以下の文献では以下のように指摘されています。

PwC社のレポート*4によれば、証券取引委員会(SEC)のコンプライアンス検査局（OCIE）の指針で、金融サービス企業の加入が推奨されており、調査対象企業の44%は保険に加入している。
Marsh社の調査*5によれば、2014年度における正味収入保険料で20億ドルの市場規模である。

実際に過去有名な会社もサイバーリスク保険により、だいぶ助けられている様子です。少し古いですが、いくつかケーススタディを見てみたいと思います。

事例1：ターゲット社

ターゲット社は、2013年12月に情報漏洩に見舞われ、POS マルウェアで4000万件のカード情報、7000万件の個人情報が漏洩したことで有名です。

2014年年度第四半期時点で累積2.52 億ドルの対策コストを計上し、2015年3 月には集団訴訟により12.2 億ドルの賠償金を支払うことで和解しています。報道*6によると、2014年年度第四半期時点で0.9 億ドルは保険によりカバーされていると報じられており、実質的な対策費は1.62億ドル、対策コストの約35.7%が保険によりカバーされていると考えられます。

事例2：ホーム・デポ社

ホーム・デポ社は、2014年9月に5600万枚のカード情報が流出したことで有名になった会社です。Bloomberg Businessの報道*7によれば、対策費は6200万ドルになり、2700万ドルは保険で払い戻される見通しとして、対策コストの43.5%が保険でカバーされていると知られています。

事例3：ソニーピクチャーズ社

ソニーピクチャーズ社は、2014年11月にハッキング攻撃を受け、未公開画像や従業員・有名ハリウッド女優の個人情報などが漏洩したとして知られています。その想定被害額は１２０億円以上だという試算もされていますが*8、保険により全額カバーされていると報じられています*9。

提供されているサイバーリスク保険の特徴

サイバーリスク保険は、大手損保会社（東京海上日動・三井住友海上・損保ジャパン日本興亜・AIU保険など）ではすでに提供が開始しています。例えば、AIU保険のCyberEdgeでは、保障分野は「賠償責任に対する補償」、「行政手続きに対する補償」、「危機管理対応費用に対する補償」の基本３種類と「ネットワーク中断に対する補償」というオプション補償を規定し、実際のインシデントにかかる費用をほぼすべてカバーしている様子です。他の保険会社も大枠は同じような補償サービスです。

金融庁の委託研究*10にによれば、海外の動向も同様の傾向にあるようです。ただ、その補償範囲は少しづつ米国では拡大していると思われます。米大手保険会社AIGのアナウンス*11によれば、2014年4月にサイバーリスク保険の補償範囲を物損や人体への被害まで拡張することを発表しており、IoT（モノのインターネット化）やSCADAへのセキュリティを意識した保険だと考えられます。

サイバーリスク保険の保険料・支払額

サイバーリスク保険の保険料・支払額については、その実態がわからない状態です。日本の損保会社も原則個別見積もりとなっているのが実情だと思います。

保険数理の実務的観点からは、重要な保険数理上のデータが手に入らないため、伝統的な手法でリスク評価をすることが難しく、保険料の料率・リスク評価方法について検討段階にあるという指摘*12もされています。

私見ですが、まだ統計的に分析できるデータが集まっていないというのが正直なところなのではと思います。その中で、Marsh社はCyber IDEAL(Identify Damages, Evaluate, and. Assess Limits)という独自の分析手法を確立しており、一つの競争源泉になっているのではと推測されます*13。

参考になるケースとすると、Cyber Data Risk Managers社がモデルケースをだしてくれています。また保険の支払額については、NetDiligence社のレポート"Cyber Liability & Data Breach Insurance Claims"*14が詳しく分析しており、平均的な保険金支払額は49.5万ドルだと分析しています。