攻撃発覚時点で補償開始、AIU保険のサイバー攻撃特約の詳細

2012年9月13日(木) 08時00分
このエントリーをはてなブックマークに追加
「サイバー攻撃を完全に防ぐことは困難」AIU保険会社 経営保険業務部 第2アンダーライティング課 課長 大塚光晴氏の画像
「サイバー攻撃を完全に防ぐことは困難」AIU保険会社 経営保険業務部 第2アンダーライティング課 課長 大塚光晴氏
情報漏洩事故の想定被害額(AIU保険会社)の画像
情報漏洩事故の想定被害額(AIU保険会社)
AIU保険会社は2012年5月、個人情報漏洩保険の特約として「サイバー攻撃対応費用特約」を発売した。この商品は、企業がサイバー攻撃に遭ったときに、セキュリティ専門機関が行う初期対応に要した費用を補償する保険。世界的にも例が少ない本特約について、同社の経営保険業務部、第2アンダーライティング課の課長である大塚光晴氏に、補償内容、市場動向、保険会社が定めるサイバー攻撃の定義、加入者数推移、保険金支払い状況などについて詳しく話を聞いた。


●完全に防ぐことはほぼ不可能

――「サイバー攻撃対応費用特約」は「個人情報漏洩保険」の特約として開発したとのことですが、それぞれ概要について教えてください。

個人情報漏洩保険は、企業が所有・使用・管理する個人情報が漏洩した場合の賠償リスクやその危機管理の実行に要した費用などを補償する保険です。たとえ1件であっても個人情報を漏洩してしまった企業は事故対応をしなければならず、対応を誤るとブランドイメージの低下や、取引先からの取引停止などにもつながりかねません。

――昨年はソニーへのAnonymousの攻撃や衆参両院への攻撃などが記憶に新しいですね

特に最近はサイバー攻撃を原因とする、大規模な情報漏洩事件が多発しています。中でも標的型メール攻撃は、人の心の隙をつく攻撃であり、企業が気づかないうちに大量の個人情報や機密情報を盗まれてしまい、大きな脅威になっています。

また標的型メール攻撃は大手企業ばかりではなく、セキュリティ対策が不十分な中小企業もターゲットになっていると言われており、日本の多くの企業がサイバー攻撃の標的となっていると考えられます。サイバー攻撃を完全に防ぐことは困難であるため、万が一お客さまがサイバー攻撃を受けた時の初期対応支援を目的として「サイバー攻撃対応費用特約」を開発しました。

個人情報の漏洩には、車上荒らしなどによる「盗難」、取引先から預かった個人情報ファイルを従業員が勝手に持ち出し第三者に売ってしまうなどの「情報の持ち出し」「メール誤送信」「ウイルス被害」などが想定されます。万が一、個人情報が漏洩してしまった場合に企業が負担する想定の被害額は、個人情報50,000件の場合で事故対応に要するコストが約2,500万円、被害者への損害賠償など被害者対応に要するコストが1億円と、合計1億2,500万円にも上がる可能性があります。

●初期対応、事後対応、賠償の3段階を補償

個人情報漏洩保険は、個人情報漏洩が発覚した時点からサポートを行う保険で、事故情報の収集や行政対応、被害者対応、公表対応といったコンサルティング費用を補償する「危機管理コンサルティング費用補償」、コンサルティングの結果によって対応した弁護士相談費用や事故原因調査費用、コールセンター設置(委託)費用、お詫び状の作成・送付費用など9つの費用を補償する「危機管理実行費用補償」、そして被害者からの損害賠償請求や委託先からの求償請求に対応する「賠償金・訴訟費用補償」の3つのステップでサポートを行います。

●サイバー攻撃対応費用特約は攻撃発生時から補償開始

サイバー攻撃対応費用特約は、「個人情報漏洩の発覚」よりも前の段階となる「サイバー攻撃を受けたまたは受けた可能性があると考えられる時点」から補償を開始します。

サイバー攻撃が発生した際には、「被害状況の把握」「証拠保全」「被害拡大防止」を行った上で「保全した証拠の調査・分析」を行います。本特約は、この4つの初期対応に要した部分をカバーするものとなっています。具体的な例ですが、2台の端末がサイバー攻撃を受け初期対応した場合にかかる費用は、状況により異なりますが260万円程度が標準的なコストと考えられます(編集部註:補償金額上限300万円)。

また、初期対応を行うセキュリティ専門機関については、当社の提携先である株式会社サイバーディフェンス研究所をご紹介することが可能です。

――「サイバー攻撃対応費用特約」の初期対応提携業者に株式会社サイバーディフェンス研究所を選定した理由は何でしょう。

理由としては2つあります。1つ目はセキュリティに関する高度な知識と技術そして経験を持った専門家集団であることです。航空自衛隊で国防レベルの高度なセキュリティ業務に関わってきた方や、2009年GoogleのNative Client Security Contestにおいて4位入賞の方など、多くのセキュリティの専門家がいらっしゃいます。

2つ目は、小林社長をはじめスタッフの皆さんがサイバー攻撃から日本の企業と組織を守るという強い使命感をもっていることです。そういった意味では、サイバーディフェンス研究所さんは、当社と目的、価値観を共有でき、信頼できるパートナーだと考えました。

●補償対象となる「攻撃」「発覚」の定義

――サイバー攻撃および発覚は、どのように定義されているのでしょう。

保険では「コンピュータシステムに対する不正アクセス・不正使用などの『セキュリティ事故』が発覚した場合」となっています。

※本記事は有料版に全文を掲載します
《吉澤 亨史》

注目ニュース

icon

AIU保険会社は、個人情報漏えい保険「サイバー攻撃対応費用特約」においてサイバーディフェンス研究所(CDI)と業務提携契約を締結したと発表した。

icon

三井住友海上火災保険は、クラウドを利用している企業向けに、コンピューターウイルスやサイバー攻撃、地震や噴火などで発生した損害などを補償する新保険商品「クラウドプロテクター」の販売を開始した。

icon

アリコジャパンは1月27日、同社のカード情報取扱業務及びシステムが、クレジットカード業界の国際セキュリティ基準「PCI DSS(Payment Card Industry Data Security Standard)Ver1.2」に完全準拠したと発表した...

icon

企業における「情報漏えい」が後を絶たない。2005年4月に個人情報保護法が全面施行され、個人情報の取り扱いには細心の注意が払われているはずであるが情報漏えい事件はいっこうに減っていない。最近ではウィニー...

icon

顧客情報や個人情報が保存されたノートパソコンの盗難・紛失、車上荒らしで機密情報ファイルが盗まれた…。情報漏えい事故・事件は後を絶たない。ウィニーに感染する暴露ウイルスによる情報流出も毎日のように発生...

RSS

特集・連載

ピックアップフォト