攻撃発覚時点で補償開始、AIU保険のサイバー攻撃特約の詳細 | ScanNetSecurity
2024.05.13(月)

攻撃発覚時点で補償開始、AIU保険のサイバー攻撃特約の詳細

企業がサイバー攻撃に遭ったときに、セキュリティ専門機関が行う初期対応に要した費用を補償する本特約について、AIU保険会社の大塚光晴氏に、補償内容、保険会社が定めるサイバー攻撃の定義、加入者数推移、保険金支払い状況などについて聞いた。

特集 特集
facebookLINE
「サイバー攻撃を完全に防ぐことは困難」AIU保険会社 経営保険業務部 第2アンダーライティング課 課長 大塚光晴氏
「サイバー攻撃を完全に防ぐことは困難」AIU保険会社 経営保険業務部 第2アンダーライティング課 課長 大塚光晴氏 全 2 枚 拡大写真
AIU保険会社は2012年5月、個人情報漏洩保険の特約として「サイバー攻撃対応費用特約」を発売した。この商品は、企業がサイバー攻撃に遭ったときに、セキュリティ専門機関が行う初期対応に要した費用を補償する保険。世界的にも例が少ない本特約について、同社の経営保険業務部、第2アンダーライティング課の課長である大塚光晴氏に、補償内容、市場動向、保険会社が定めるサイバー攻撃の定義、加入者数推移、保険金支払い状況などについて詳しく話を聞いた。


●完全に防ぐことはほぼ不可能

――「サイバー攻撃対応費用特約」は「個人情報漏洩保険」の特約として開発したとのことですが、それぞれ概要について教えてください。

個人情報漏洩保険は、企業が所有・使用・管理する個人情報が漏洩した場合の賠償リスクやその危機管理の実行に要した費用などを補償する保険です。たとえ1件であっても個人情報を漏洩してしまった企業は事故対応をしなければならず、対応を誤るとブランドイメージの低下や、取引先からの取引停止などにもつながりかねません。

――昨年はソニーへのAnonymousの攻撃や衆参両院への攻撃などが記憶に新しいですね

特に最近はサイバー攻撃を原因とする、大規模な情報漏洩事件が多発しています。中でも標的型メール攻撃は、人の心の隙をつく攻撃であり、企業が気づかないうちに大量の個人情報や機密情報を盗まれてしまい、大きな脅威になっています。

また標的型メール攻撃は大手企業ばかりではなく、セキュリティ対策が不十分な中小企業もターゲットになっていると言われており、日本の多くの企業がサイバー攻撃の標的となっていると考えられます。サイバー攻撃を完全に防ぐことは困難であるため、万が一お客さまがサイバー攻撃を受けた時の初期対応支援を目的として「サイバー攻撃対応費用特約」を開発しました。

個人情報の漏洩には、車上荒らしなどによる「盗難」、取引先から預かった個人情報ファイルを従業員が勝手に持ち出し第三者に売ってしまうなどの「情報の持ち出し」「メール誤送信」「ウイルス被害」などが想定されます。万が一、個人情報が漏洩してしまった場合に企業が負担する想定の被害額は、個人情報50,000件の場合で事故対応に要するコストが約2,500万円、被害者への損害賠償など被害者対応に要するコストが1億円と、合計1億2,500万円にも上がる可能性があります。

●初期対応、事後対応、賠償の3段階を補償

個人情報漏洩保険は、個人情報漏洩が発覚した時点からサポートを行う保険で、事故情報の収集や行政対応、被害者対応、公表対応といったコンサルティング費用を補償する「危機管理コンサルティング費用補償」、コンサルティングの結果によって対応した弁護士相談費用や事故原因調査費用、コールセンター設置(委託)費用、お詫び状の作成・送付費用など9つの費用を補償する「危機管理実行費用補償」、そして被害者からの損害賠償請求や委託先からの求償請求に対応する「賠償金・訴訟費用補償」の3つのステップでサポートを行います。

●サイバー攻撃対応費用特約は攻撃発生時から補償開始

サイバー攻撃対応費用特約は、「個人情報漏洩の発覚」よりも前の段階となる「サイバー攻撃を受けたまたは受けた可能性があると考えられる時点」から補償を開始します。

サイバー攻撃が発生した際には、「被害状況の把握」「証拠保全」「被害拡大防止」を行った上で「保全した証拠の調査・分析」を行います。本特約は、この4つの初期対応に要した部分をカバーするものとなっています。具体的な例ですが、2台の端末がサイバー攻撃を受け初期対応した場合にかかる費用は、状況により異なりますが260万円程度が標準的なコストと考えられます(編集部註:補償金額上限300万円)。

また、初期対応を行うセキュリティ専門機関については、当社の提携先である株式会社サイバーディフェンス研究所をご紹介することが可能です。

――「サイバー攻撃対応費用特約」の初期対応提携業者に株式会社サイバーディフェンス研究所を選定した理由は何でしょう。

理由としては2つあります。1つ目はセキュリティに関する高度な知識と技術そして経験を持った専門家集団であることです。航空自衛隊で国防レベルの高度なセキュリティ業務に関わってきた方や、2009年GoogleのNative Client Security Contestにおいて4位入賞の方など、多くのセキュリティの専門家がいらっしゃいます。

2つ目は、小林社長をはじめスタッフの皆さんがサイバー攻撃から日本の企業と組織を守るという強い使命感をもっていることです。そういった意味では、サイバーディフェンス研究所さんは、当社と目的、価値観を共有でき、信頼できるパートナーだと考えました。

●補償対象となる「攻撃」「発覚」の定義

――サイバー攻撃および発覚は、どのように定義されているのでしょう。

保険では「コンピュータシステムに対する不正アクセス・不正使用などの『セキュリティ事故』が発覚した場合」となっています。

※本記事は有料版に全文を掲載します

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. 脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

    脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

  3. 東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

    東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

  4. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  5. TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

    TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

  6. 東京電力エナジーパートナー、電力・ガス取引監視等委員会からの報告徴収に対する報告書提出

    東京電力エナジーパートナー、電力・ガス取引監視等委員会からの報告徴収に対する報告書提出

  7. 豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

    豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

  8. デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

    デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

  9. 北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

    北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

  10. ランサムウェア「LockBit」被疑者の資産を凍結し起訴

    ランサムウェア「LockBit」被疑者の資産を凍結し起訴

ランキングをもっと見る
ホーム 特集 特集 記事
TOP