AIU保険は、昨年の12月、日本国内に本社を置くグローバル企業の日本及び世界各国の拠点を対象に、サイバー攻撃を受けた際、全世界で発生する損害を補償する保険商品「CyberEdge」(サイバーエッジ)の販売を開始した。これを受け同社は1月23日、米国からAIGの経営幹部を招き、プレス説明会を開催した。

AIU コーポレートビジネス担当 専務執行役員 スティーブ・マローン氏

説明会の冒頭、挨拶に立ったAIU コーポレートビジネス担当 専務執行役員 スティーブ・マローン氏は、「最近は、サイバー攻撃のニュースを耳にしない日はなく、企業幹部の多くが情報漏洩を大きな脅威と考えている。AIUは日本で個人情報情報漏洩に関する保険を、個人情報保護法が施行された2004年以降提供し、毎年補償内容の強化を図っている。AIGはサイバー攻撃に関する保険の最大手で、『CyberEdge』はAIGがAIUを通して日本に提供する最初の商品だ。この商品によって日系企業をサイバー攻撃の脅威から守りたいと思っている。この商品はすでに世界35カ国で販売されているが、2013年には50カ国まで増やしたいと考えている」と述べた。

そして、続いて登壇したAIG Property Casualty Financial Lines Asia Pacific Vice President イアン・ポラード氏は、最近のサイバー攻撃のトレンドについて解説。

AIG Property Casualty Financial Lines Asia Pacific Vice President イアン・ポラード氏

同氏は「最近ほど、サイバー脅威の危険にさらされていることはない。米国での対応費用は増加しており、深刻な問題になっている。アジア・太平洋地域ではまだサイバー攻撃に対する危機意識は低いが、脅威は増している。アジア・太平洋地域では44%がオンラインを利用しており、これは世界でもっとも高い数字だ。2020年には500億台のデバイスが利用されると予想されているが、半分がアジア・太平洋地域で、75%の組織が過去12カ月の間にサイバー攻撃を経験している」と述べ、サイバー攻撃への危機意識の低いアジア・太平洋地域に警鐘を鳴らした。

そして同氏は、「サイバーリスクはIT部門だけでなく、すべての部門が影響を受ける。そのため、すべてのビジネスにおいて脅威に備える必要がある」述べ、サイバー攻撃に関するリスクとして、社内プロセスがうまくいかないオペレーションリスク、詐欺や盗難による財務リスク、損害賠償請求、知的財産の被害、会社の評判が下がる風評リスク、株主の信頼失墜や株価の下落、法的な制裁や罰金などがあると説明した。

同氏によれば、サイバーリスクは3つの方法で対応する必要があるという。1つは官民連携の強化、2つ目は企業のより強固なリスク管理体制、そして3つ目が保険によるサイバーリスクへの保護だという。

サイバー攻撃の脅威に対する対応での重要ポイント

そして、リスク管理体制としては、全従業員がリスクを認識し基本的なサイバー攻撃に対する対処方法を学ぶ必要があるという。また、経営陣の意識も大切で、リスク管理を役員レベルで検討し、リスクに対する予算を確保し、部門横断的な組織をつくることが重要だとした。

AIUが販売を開始した「CyberEdge」は、企業がサイバー攻撃を受けた際、各国のセキュリティ専門機関を紹介し、迅速な初期対応をサポートするとともに、証拠保全や侵入経路特定のため適切なデータを収集・解析するフォレンジックス費用や、損害賠償請求がなされた場合に負担する賠償金を補償する保険だ。さらに、不正アクセスなどにより業務が中断した期間の逸失利益についても補償する。

同社はすでに個人情報保険やコンテンツビジネスガード、ITビジネスガードなどを法人向けに提供しているが、「CyberEdge」は逸失利益やフォレンジックス費用も補償の対象とした点が新しいという。

AIU 経営保険業務部 第一アンダーライティング課 課長 阿部瑞穂氏

AIU 経営保険業務部 第一アンダーライティング課 課長 阿部瑞穂氏よれば、「CyberEdge」は、「損害賠償に対する保障」、「行政対応に対する費用」、「各種費用(フォレンジックスやコンサルタント費用など)」、「逸失利益」の4つが補償の大きな柱で、漏洩や被害を受けた会社の場所、損害賠償が提起された場所にとらわれず、全世界の補償を提供する点、危機管理コンサルタントを紹介可能である点、逸失利益やフォレンジックス費用、情報漏洩が発生しなくても、不正アクセスがあった場合の費用を補償する点が特長だという。

「CyberEdge」で補償する内容

「CyberEdge」の特長

「CyberEdge」は、代理店、保険ブローカー、ダイレクト販売などにより提供。保険料は、企業の売上高、アンケート調査によるリスク管理体制、補償額などによって決定されるが、目安としては、売上高100億円くらいのIT企業が、5億円の補償契約を行った場合、保険料は年額400万円程度になるという。

阿部氏によれば、これまで提供してきた個人情報漏洩に対する国内企業の成約率は、他の特殊保険に比べ高く、同氏は「CyberEdge」の契約数の目標として今年度中に100社を挙げた。