Global Wind (グローバル・ウインド)

中央支部 国際部 田島 淳一

 大手IT企業で30年以上勤務した後、縁あって昨年の12月に製造業のCIOとしてアトランタへ赴任してきました。そんな関係で最近、アメリカのサイバー保険について触れることがありましたのでそのお話しを少し共有させて頂きます。
皆さんはランサムウェアという言葉を聞いたことがあるでしょうか?
 所謂、コンピュータウィルスの一種で昨年(2017年)5月に大流行しました。英国医療機関での被害などが連日ニュースとなっていましたので記憶に残っている方もいらっしゃるのではないかと思います。また、毎年のように情報漏洩も話題にあがります。有名なところでは米ヤフーの個人情報漏洩(30億アカウントに被害)、日本年金機構(125万件)の個人情報流出、ぴあの個人情報漏洩(3万2千件)ではクレジットカードの不正利用も発生していて880万円の被害が発生しました。過去には国内でも個人情報流出への補償などで億単位の費用が発生した事例もありました。

 勿論、被害を未然に防ぐことが最善の策であることは間違いないのですが残念ながら今のところ特効薬のようなものはありません。従業員へのセキュリティ教育や適切なソフトウェアのアップデートなどに地道に取組むほかないのが現状です。このリスクへの対処法のひとつとしてサイバー保険市場がアメリカで近年大きく成長してきています。

1.日本の状況
 米国などに比べると情報漏洩などのサイバー攻撃による損害額は低位で推移していたこともあり2012年に国内で外資系保険会社から最初のサイバー保険が販売された際にはあまり話題になることもなく、市場としてもひろがりに欠けるものでした。
 ところが日本年金機構、ベネッセなど大規模な情報漏洩の発生や2017年5月から施行された改正個人情報保護法などを背景にまだまだ、規模は小さいかもしれませんが日本でも市場が着実に拡大してきています。

 下の図は日本ネットワークセキュリティ協会の2106年度情報セキュリティ市場調査報告書からの抜粋となりますが2014年から着実に市場が大きくなってきているのが分かると思います。ちなみに同じ日本ネットワークセキュリティ協会の2015年度調査によると2013年度は約89億円でしたので過去5年で1.75倍程度の規模になると見込まれていました。

01_情報セキュリティ保険市場
出典:日本ネットワークセキュリティ協会“2106年度情報セキュリティ市場調査報告書”

 アメリカではAIG、Travelersのような大手保険会社がサイバー保険を取り扱っていましたが、このような状況の中で2015年には国内でも主要損害保険会社からもサイバー保険の販売が開始されました。

02_サイバー保険商品

※注1:三井住友海上火災保険と、あいおいニッセイ同和損害保険が共同開発し、それぞれの名称で販売。
出典:TechTarget http://techtarget.itmedia.co.jp/tt/news/1706/12/news05.html

 国内企業のサイバー保険への加入率は2割に満たないような状況でありアメリカとの比較では普及は極めて限定的な状況となっています。アメリカやEUのように情報漏洩に関する公表義務や監督機関への通知義務などが規定されていないこともあってか、国内ではサイバー攻撃の被害を受けてもあまり表沙汰にならないのかもしれません。ただ、大きな流れとしてはいずれ日本で通知義務について議論が始まればサイバー保険への関心度も上昇してくるのではないかと思います。

2.アメリカの現状
 一方でアメリカの現状についてみてみると、なんと世界のサイバー保険の9割はアメリカに集中しています。その規模は2015年時点で15億ドル(1,590億円)にも達しています。1997年に2000年問題へ対応するためにAIGが最初のサイバー保険(単独の保険商品)の販売を開始したのがサイバー保険の起源となります。その後、2003年にカリフォルニア州で米国初の“データ侵害通知法(Security Breach Notification Law)“が施行されたことが市場拡大の大きな転換点となり大きく市場が拡大することになります。
※データ侵害通知法
個人情報の漏洩等のインシデントが発生した場合の公表義務と本人への通知義務を個人情報の種類や取扱い業種などによらず規定した。2005年以降、他の多くの州も追従して同様の法を制定、これまでにアラバマ州とサウスダコタ州を除く全米48州で個別に州法が制定・施行されている。

03_Global Cyber Market Overview

出典:AON社“Global Cyber Market Overview”
アメリカはご存知のように訴訟社会です。一旦、法律が成立するとそれに関連して沢山の訴訟がおきてきます。和解金額も1億円を越えるような大きなものもでてきております。これらを背景にサイバー保険市場も拡大してきたようです。

最近の大型和解例:
20180407

 ここまで日本とアメリカでのサイバー保険についてざっくりとお話ししてきましたが
 一口にサイバー保険といってもセキュリティ診断等の予防措置、インシデント発生時の対応コンサルに力点のあるものと金銭補償に力点がおかれたものとに分類できます。
 具体的に検討される際にはまず、どちらのタイプの保険が必要なかを確認した上で保険会社にご相談されるのがいいように思います。

 私の住んでいるアトランタでは強盗や殺人のニュースを毎日のように見かけます。誰でも比較的簡単に銃を保有できる国ですし、我々も危険度を理解していますので危ないところには近づかないなど日ごろから用心しながら暮らしています。ところで皆さんはタイの拳銃保有率が東南アジアで一番多いことをご存知でしたでしょうか。しかも国連の犯罪調査統計によると人口10万人あたりの殺人事件の件数もアメリカ4.88、タイが3.51でした。ちなみに日本は0.31です。シンガポール駐在時代にタイへ出張することもありましたが今思えば、危険度で言えば同程度の用心が必要だったのかもしれません。
 リスクは意外と身近なところに潜んでいるものですね。グローバル化が進む中小企業にとってもサイバー保険が転ばぬ先の杖になるかもしれません。

■田島 淳一(たじま じゅんいち)
中小企業診断士(2008年登録)、東京都中小企業診断士協会 中央支部、PMP
IT企業のロンドン現地法人、シンガポール支社に勤務。現在は日系製造業のアメリカ法人へCIOとして赴任。