2016.08.25(木)

攻撃発覚時点で補償開始、AIU保険のサイバー攻撃特約の詳細

特集 特集

AIU保険会社は2012年5月、個人情報漏洩保険の特約として「サイバー攻撃対応費用特約」を発売した。この商品は、企業がサイバー攻撃に遭ったときに、セキュリティ専門機関が行う初期対応に要した費用を補償する保険。世界的にも例が少ない本特約について、同社の経営保険業務部、第2アンダーライティング課の課長である大塚光晴氏に、補償内容、市場動向、保険会社が定めるサイバー攻撃の定義、加入者数推移、保険金支払い状況などについて詳しく話を聞いた。


●完全に防ぐことはほぼ不可能

――「サイバー攻撃対応費用特約」は「個人情報漏洩保険」の特約として開発したとのことですが、それぞれ概要について教えてください。

個人情報漏洩保険は、企業が所有・使用・管理する個人情報が漏洩した場合の賠償リスクやその危機管理の実行に要した費用などを補償する保険です。たとえ1件であっても個人情報を漏洩してしまった企業は事故対応をしなければならず、対応を誤るとブランドイメージの低下や、取引先からの取引停止などにもつながりかねません。

――昨年はソニーへのAnonymousの攻撃や衆参両院への攻撃などが記憶に新しいですね

特に最近はサイバー攻撃を原因とする、大規模な情報漏洩事件が多発しています。中でも標的型メール攻撃は、人の心の隙をつく攻撃であり、企業が気づかないうちに大量の個人情報や機密情報を盗まれてしまい、大きな脅威になっています。

また標的型メール攻撃は大手企業ばかりではなく、セキュリティ対策が不十分な中小企業もターゲットになっていると言われており、日本の多くの企業がサイバー攻撃の標的となっていると考えられます。サイバー攻撃を完全に防ぐことは困難であるため、万が一お客さまがサイバー攻撃を受けた時の初期対応支援を目的として「サイバー攻撃対応費用特約」を開発しました。

個人情報の漏洩には、車上荒らしなどによる「盗難」、取引先から預かった個人情報ファイルを従業員が勝手に持ち出し第三者に売ってしまうなどの「情報の持ち出し」「メール誤送信」「ウイルス被害」などが想定されます。万が一、個人情報が漏洩してしまった場合に企業が負担する想定の被害額は、個人情報50,000件の場合で事故対応に要するコストが約2,500万円、被害者への損害賠償など被害者対応に要するコストが1億円と、合計1億2,500万円にも上がる可能性があります。

●初期対応、事後対応、賠償の3段階を補償

個人情報漏洩保険は、個人情報漏洩が発覚した時点からサポートを行う保険で、事故情報の収集や行政対応、被害者対応、公表対応といったコンサルティング費用を補償する「危機管理コンサルティング費用補償」、コンサルティングの結果によって対応した弁護士相談費用や事故原因調査費用、コールセンター設置(委託)費用、お詫び状の作成・送付費用など9つの費用を補償する「危機管理実行費用補償」、そして被害者からの損害賠償請求や委託先からの求償請求に対応する「賠償金・訴訟費用補償」の3つのステップでサポートを行います。

●サイバー攻撃対応費用特約は攻撃発生時から補償開始

サイバー攻撃対応費用特約は、「個人情報漏洩の発覚」よりも前の段階となる「サイバー攻撃を受けたまたは受けた可能性があると考えられる時点」から補償を開始します。

サイバー攻撃が発生した際には、「被害状況の把握」「証拠保全」「被害拡大防止」を行った上で「保全した証拠の調査・分析」を行います。本特約は、この4つの初期対応に要した部分をカバーするものとなっています。具体的な例ですが、2台の端末がサイバー攻撃を受け初期対応した場合にかかる費用は、状況により異なりますが260万円程度が標準的なコストと考えられます(編集部註:補償金額上限300万円)。

また、初期対応を行うセキュリティ専門機関については、当社の提携先である株式会社サイバーディフェンス研究所をご紹介することが可能です。

――「サイバー攻撃対応費用特約」の初期対応提携業者に株式会社サイバーディフェンス研究所を選定した理由は何でしょう。

理由としては2つあります。1つ目はセキュリティに関する高度な知識と技術そして経験を持った専門家集団であることです。航空自衛隊で国防レベルの高度なセキュリティ業務に関わってきた方や、2009年GoogleのNative Client Security Contestにおいて4位入賞の方など、多くのセキュリティの専門家がいらっしゃいます。

2つ目は、小林社長をはじめスタッフの皆さんがサイバー攻撃から日本の企業と組織を守るという強い使命感をもっていることです。そういった意味では、サイバーディフェンス研究所さんは、当社と目的、価値観を共有でき、信頼できるパートナーだと考えました。

●補償対象となる「攻撃」「発覚」の定義

――サイバー攻撃および発覚は、どのように定義されているのでしょう。

保険では「コンピュータシステムに対する不正アクセス・不正使用などの『セキュリティ事故』が発覚した場合」となっています。

※本記事は有料版に全文を掲載します
《吉澤 亨史》

編集部おすすめの記事

特集

特集 アクセスランキング

  1. KPMG のサイバーセキュリティ経営 (1) 経営者の 3 つの関心事とは

    KPMG のサイバーセキュリティ経営 (1) 経営者の 3 つの関心事とは

  2. [数字でわかるサイバーセキュリティ] 約4割がセキュリティ被害、総務省「通信利用動向調査」

    [数字でわかるサイバーセキュリティ] 約4割がセキュリティ被害、総務省「通信利用動向調査」

  3. [セキュリティ ホットトピック] 話題の「ポケモンGO」、その面白さと危険度

    [セキュリティ ホットトピック] 話題の「ポケモンGO」、その面白さと危険度

  4. [インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD)

  5. 仮想化によって拡大するセキュリティリスク、海外子会社で発生したVM削除事件

  6. [緊急寄稿] 電脳コイルとポケモンGO の誘う AR 犯罪新時代

  7. 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

  8. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  9. ISMS認証とは何か■第1回■

  10. [インタビュー]キャリア15年目、新井悠が描くマルウェア研究者のキャリア(トレンドマイクロ)

  11. Scan BASIC MEMBERS 登録方法

  12. ここが変だよ日本のセキュリティ 第21回「セキュリティ人材は生き残ることができるか?」

  13. [特別レポート] リアル DMZ 訪問記

  14. [DEF CON 23] 米で相次ぐサイバー攻撃、ソーシャルエンジニアリングはどう悪用されるのか~クリス・ハドナジー インタビュー

  15. 日本企業における情報セキュリティ国際資格CISSP取得の現状

  16. NSS LabsがNGFWの性能評価マップSVMを公開――各製品の特徴を可視化

  17. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  18. ソリトンシステムズのサイバーセキュリティ 第2回 「 『ランサムウェア』 が試金石? 今、企業の多層防御が試される」

  19. 【インタビュー】忘れられがちな内部対策、標的型サイバー攻撃対策

  20. ドラマ「ブラッディ・マンデイ」ハッキングシーン製作秘話

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×