<研究論文>
ドイツにおけるサイバー保険
●アブストラクト 企業活動におけるデジタル技術の進展に伴い,企業の生産性や効率性 は高まる一方で,企業がサイバー犯罪,プライバシー侵害,事業中断等 のサイバーインシデントによって重大な損害を被る可能性(サイバーリ スク)は一層高まっている。サイバーリスクは多義的・複雑なリスクで あるため,サイバーリスクの影響の結果として企業が被る損害を中心に 置いてサイバーリスクを理解することは有用であり,損害概念に基づく サイバーリスクの理解は保険との親和性も高いと考えられる。 サイバーリスクを担保する保険には大きく従来型の企業保険とサイ バー保険があるが,従来型保険ではサイバーリスクに対して「補償の空 白」が生じることから,サイバーリスクに特化するサイバー保険で適切 に対処することが重要である。 本稿は,将来的にサイバー保険市場の拡大が見込まれるドイツを取り 上げ,サイバー保険の模範約款などを手掛かりにサイバー保険の特徴と 保険保護範囲を概観し,わが国のサイバー保険の発展に資する示唆を得 るとともに,今後の検討課題を指摘する。 ●キーワード サイバーリスク,サイバー保険,純粋経済損害内 藤 和 美
Ⅰ はじめに サイバー保険とは,コンピュータ・システムに対するサイバー攻撃を受 けることにより生ずる様々な損害をてん補する保険1)である。 サイバー保険は,1990 年代後半に米国で販売が開始されて以降,20 年 余りで米国を中心に急速に発展した保険であり,当初,その補償範囲は第 三者に対する賠償責任に限定されていたが,サイバー攻撃に伴う個人情報 漏えいに係る個人情報保護規制の強化やサイバー被害の増加・多様化を背 景に,各種費用損害や事業中断損害といった企業自身の損害にまで補償範 囲が拡大されるようになった2)。 わが国では,サイバーリスクのうち,まず個人情報漏えいリスクに備え るための「個人情報漏えい保険」が 2004 年に損害保険各社から販売され ている。その後,2011 年頃から標的型攻撃メールやランサムウェアなど サイバー攻撃による被害が増大し,個人情報漏えいリスクだけでなく,企 業のネットワーク中断リスクなどサイバーリスク全般を補償する保険の ニーズが高まったことを受けて,2015 年 2 月に東京海上日動火災保険が 国内大手損害保険会社で初めてサイバーリスクを包括的に補償する保険を 販売した3)。 2019 年 3 月現在,国内市場では損害保険会社 7 社がサイバー保険を販 売しており,その補償内容は各社ごとに異なるものの,サイバー事故によ り企業に生じた第三者に対する「損害賠償責任」のほか,事故時に必要と なる「費用」や企業の「喪失利益」を包括的に補償する保険として提供さ れている4)。 1) 山下友信・保険法(上)55 頁脚注 19(有斐閣,2018)。 2) 金奈穂「サイレント・サイバーリスクを巡る動向-米国・イギリスを中 心に-」損保総研レポート 126 号 26-29 頁(2019)。 3) 石原康史「損害保険におけるエマージング・リスクへの取組みの一例- サイバーリスクについて-」保険学雑誌 642 号 61 頁以下(2018)。 4) あいおいニッセイ同和損保,AIG 損保,共栄火災,損保ジャパン日本興亜,
ドイツにおけるサイバー保険
世界のサイバー保険市場に目を転じると,独立型のサイバー保険の総収 入保険料は,2016 年時点で 25 億米ドル~ 35 億米ドルであり,そのうち 85%~ 90%を米国市場,5%~ 9%を欧州市場が占めていると推計される。 また,欧州市場は,2018 年 5 月 25 日に EU の「一般データ保護規則」 (General Data Protection Regulation. 以下,GDPR と表記)が施行され たことにより,将来的には米国と同程度の市場規模にまで成長するとの見 込みも示されている5)。
本稿は,将来的な市場の拡大が見込まれる欧州市場の中で,ドイツの サイバー保険を取り上げる。ドイツでは,2017 年 4 月にドイツ保険協 会(Gesamtverband der Deutschen Versicherungswirtschaft e. V.. 以 下, GDV と表記)がサイバー保険について拘束力のない模範約款を公表して おり,前述した GDPR の施行・適用開始とともに,今後サイバー保険の 普及・発展が大いに期待されている。また,サイバー保険市場の発展に伴 い,理論・実務両面からの研究も進んでいる6)。こうしたドイツにおける サイバー保険の普及要因や研究の蓄積から,わが国のサイバー保険の普 及・発展に資する示唆を得ることができると考えられる。 以下ではまず,サイバーリスクの意義と分類を示し(Ⅱ),サイバーリ スクを担保する保険として,従来型の企業向け損害保険とサイバー保険 の関係を明らかにしたうえで,サイバー保険の普及要因を指摘する(Ⅲ)。 次に,サイバー保険の特徴と保険保護の範囲について,GDV の模範約款 などを手掛かりとして概観し(Ⅳ),最後に,わが国との比較を踏まえて 今後の検討課題に言及する(Ⅴ)。 大同火災,東京海上日動,三井住友海上の 7 社である(日本損害保険協会ホー ムページ(www.sonpo.or.jp/cyber-hoken/ins)(最終閲覧 2020 年 1 月 25 日)。 5) OECD (2017) Enhancing the Role of Insurance in Cyber Risk
Management, OECD Publishing, p.60.
6) 本稿で取り上げる各種文献のほか,今後,サイバー保険の模範約款のコ ンメンタールも発行される見込みである。
Ⅱ サイバーリスクの意義と分類 1 サイバーリスクの意義 ⑴ サイバーインシデントとその影響 企業活動におけるデジタル技術の活用の進展に伴い,企業の生産性や 効率性は向上する一方で,企業はデジタルセキュリティ・リスクという 重大なリスクにさらされることになる。デジタルセキュリティ・リスク の実現は,企業の情報および情報システムの機密性,完全性および可用 性7)を損なうことで,企業の経済的および社会的な目的の達成を妨げるこ とにつながる。こうした事象は,一般的にサイバーインシデント(cyber incident)と呼ばれている8)。 サイバーインシデントには,サイバー犯罪(cyber crime)9),プライバ
シーの侵害(privacy breaches),事業中断(business interruption),IT (Information Technology)10)の故障・機能停止などがあり,結果として
大規模な損害を引き起こす事故・事象である。サイバーインシデントは事
7) 機密性,完全性および可用性の意義については,Ⅳの 2 で詳述する。 8) サイバーインシデントは,データの機密性(の侵害),システムの機能不全・
問題,データの完全性・可用性(の侵害)および 悪意ある行動の 4 つのタ イプに分類される(OECD, supra note 5, p.11 and p.20)。
9) サイバー犯罪について明確な定義がなされているわけではないが,本稿 では「企業を苦境に陥れる目的で行われるサイバー攻撃」の意味で使用す る(Podebrad,I. und Gabel, D., in: Gabel/Heinrich/Kiefner, Rechtshandbuch Cyber-Security : IT-Sicherheit, Datenschutz, Gesellschaftsrecht, Compliance, M&A, Versicherungen, Aufsichtsrecht, Arbeitsrecht, Litigation, Frankfurt 2019, S.4)。
10) 情報の処理または伝達に使われるあらゆる技術的手段をいう(Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Kompendium: Stand Februar 2019, Glossar,S.5)。 (https://www.bsi.bund. de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_ Grundschutz_Kompendium_Edition2019.pdf;jsessionid=5476CF940889035 C881AAB94D4D19E9E.2_cid369?__blob=publicationFile&v=5)( 最 終 閲 覧 2020 年 1 月 25 日)。
ドイツにおけるサイバー保険 業中断リスクと並び,今や企業経営上のトップリスクであるとされる。ま た,サイバーインシデントは事業中断の引き金(トリガー)としても大き な脅威になりつつある11)。 近年は,モノと仮想の世界(サイバー空間)12)が高度に結びつく IoT (Internet of Things)が進展しており,サイバー犯罪の足掛かりが増大 しているとの指摘もある13)。ドイツにおけるサイバー犯罪の現状について, デジタル連盟(Digitalverband)の Bitkom による 2018 年の調査結果によ れば,68%の企業が過去 2 年以内に産業スパイ活動,妨害工作またはデー タ窃取による被害を受けており,その結果として総額でおよそ 434 億ユー ロの損害を被ったとされる14)。 11) 世界 86 カ国の企業経営者やリスクの専門家から得られた回答に基づく 調査結果である。同調査によれば,サイバーインシデントと事業中断リス クはともに全回答者の 37%が重大リスクであると回答している。また,サ イバーインシデント発生後,企業に経済的損失をもたらす原因として,最 も回答が多かったのは事業中断(69%)であり,次いで風評損害(Loss of reputation),データ侵害に起因する損害賠償請求(48%),システム復 旧・データ復元費用(29%),罰金・科料(25%)となっている(Allianz, Allianz Risk Barometer -Top Business Risks for 2019,p.8 (https://www. agcs.allianz.com/content/dam/onemarketing/agcs/agcs/reports/Allianz-Risk-Barometer-2019.pdf)(最終閲覧 2020 年 1 月 25 日)。 12) サイバー空間は,仮想空間と同義的に使われる場合がある。1990 年代に 入ってインターネットが普及すると,コンピュータネットワーク上に築か れるコミュニケーションの場を意味する言葉として,サイバー空間が使わ れるようになった(サイバーセキュリティと経営戦略研究会編・サイバー セキュリティ 76 頁(NTT 出版,2014))。
13) Podebrad und Gabel, in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.2-3. 14) 損害額の内訳は,「顧客または供給者におけるイメージ損害,ネガティブ なメディア報道」88 億ユーロ,「特許権の侵害」85 億ユーロ,「情報・生産 システムまたは事業進行の中断,窃取もしくは毀損」67 億ユーロ,「調査 および補償の措置にかかる費用」57 億ユーロ,「競争上の優位性を失うこ とによる売上高の喪失」40 億ユーロ,「製品の偽造による売上高の喪失」 37 億ユーロ,「法的紛争のための費用」37 億ユーロ,「(攻撃を受けた後 の)データ保護法上の措置」14 億ユーロ,「データの窃取または暗号化を 伴う恐喝」3 億ユーロ,「その他の損害」6 億ユーロである(Bitkom e.V.,
⑵ サイバーおよびサイバーリスクの意義 サイバー(Cyber)という接頭辞はギリシャ語で「航海士の技能」を意 味する ”Steuermannskunst” に由来し,1948 年には米国の数学者ノルベ ルト・ウィーナー氏によって「サイバネティクス」(cybernetics)が「制 御・操縦技術」と関連付けられる言葉として提唱されている15)。また,ド イツの言語学者であるロート・ドゥーデン氏によれば,サイバーとは,コ ンピュータから生まれる仮想の世界に関連し,英語の「サイバネティク ス」を短縮した言葉であり,学術的には,様々なシステム(例えば,生物 学的システム,工学技術のシステムなど)の自立的な制御やコントロール のメカニズムを研究する分野と定義される16)。さらに,サイバーは,コン ピュータ,IT および仮想現実の文化に関連または特徴付けられる形容詞 であり17),物理的および仮想上の IT およびデータ技術ならびにそのネット ワーク化および処理全般について使われる接頭辞であると説明されること もある18)。 リスクマネジメントおよび保険の領域では,しばしば「サイバーリス ク」という用語が使われる。サイバーリスクについて必ずしも確立された 定義があるわけではないが,企業のテクノロジーまたは情報と関連する
Spionage, Sabotage und Datendiebstahl -Wirtschaftsschutz in der Industrie : Studienbericht 2018, S.24-25)。https://www.bitkom.org/sites/default/files/ file/import/181008-Bitkom-Studie-Wirtschaftsschutz-2018-NEU.pdf(最終閲 覧 2020 年 1 月 25 日)。
15) Schröder, L., Risikomanagement von Cyber-Risiken, Norderstedt 2015, S.14. サイバネティクスは学際的な学問であり,機械の自動制御と動物の神 経系統機能の類似性や関連性をテーマに研究する,心理学,生物学,物理学, 数学等を包括した科学の総称である(サイバーセキュリティ・前掲注 12) 75 頁)。
16) Schröder, a. a. O. (N.15), S.14; Achenbach, M., Die Cyber-Versicherung -Überblick und Analyse, Versicherungsrecht, Heft24/2017, S.1494.
17) Pache, T., 100 Fragen rund um Cyber-Versicherungen, Karlsruhe 2019, S.1.
ドイツにおけるサイバー保険 多数の潜在的リスクとして捉えられ,「情報または情報システムの機密性, 可用性または完全性を損なう,情報および技術的財産に対するオペレー ショナルリスク」として定義されることがある19)。また,リスクマネジメ ントの領域では,サイバーリスクはしばしば「情報セキュリティ」あるい は「IT セキュリティ」の概念と結び付けられ,この場合,サイバーリス クは「IT リスクから生じる,企業の利益,損失またはバランスシートに 対する財務上の影響」,あるいは,「データおよび IT の利用から,保護対 象の機密性,完全性,可用性の侵害によって発生する財産損害」と定義さ れる20)。さらに,保険の分野では,サイバーリスクにより企業が被る直接 的または間接的な影響としての損害の概念との関連が重視される21)。 2 サイバーリスクの分類 ⑴ 理論的な分類22) 理論上は,リスクを 4 つの次元(社会的リスク,経済的リスク,個別的 リスク,技術的リスク)に分類することができる。社会的リスクは,IT やサイバー技術の利用によって生じる社会レベルのリスクであり,情報戦 争,産業スパイ,サイバーテロなどが挙げられる。また,経済的リスクは, 企業に対する経済的影響にかかわるリスクであり,売上高の喪失,企業イ メージの喪失,第三者による損害賠償請求,マスメディア対応のリスク, マクロ経済リスクなどがある。さらに,個別的リスクには,個人および企 業に関連付けられたデータに関するリスク,技術的リスクには,ハッカー 19) サイバーリスクは理論上,人の欠陥(例えば故意ではないデータの喪 失),システムの欠陥(例えばハードウェアの欠陥),瑕疵ある内部の運 営(例えば不十分な権限の決定)および外的要因(例えば火災によるシス テムの停止)から生じると考えられる(Eling, M., Risikomanagement und Versicherbarkeit von Cyber Risiken, Zeitschrift für Versicherungswesen, 17/2015, S.552)。
20) Schröder, a. a. O. (N.15), S.15-16. 21) Schröder, a. a. O. (N.15), S.16. 22) Schröder, a. a. O. (N.15), S.18-19.
攻撃などに対する安全性のリスク,システム上のリスクなどが含まれる。 ⑵ 原因に基づく分類23) サイバーリスクの原因に基づく分類は,サイバーリスクを大きく,犯罪的 な原因(サイバー犯罪)によるリスクと犯罪ではない原因によるリスクに分 類する考え方であり,前者はさらに,物理的な攻撃,ハッカー攻撃および インターネット上の恐喝・ゆすりに分けられ,後者は,自然災害のなどの激 しい力を加えられること,技術上の不全および人的不全に細分化される。 犯罪的な原因によるサイバーリスクは,主に企業の外部に存在する原因 によるものといえるが,例えば,従業員が USB メモリーを使ってデータ を盗み出すことや自社のコンピュータ・ネットワークにマルウェアを侵入 させるなど,企業内部に犯罪的な原因が存在する場合もある。一方,犯罪 ではない原因は,企業の外部に存在する場合(例えば,自然災害)と企 業の内部に存在する場合(例えば,企業の IT システムの欠陥や従業員の 誤った IT システムの操作によるデータ流失)が考えられる。 ⑶ 攻撃のタイプによる分類24) 企業に対するサイバー攻撃のタイプによって分類する方法であり,攻撃 により侵害される企業の情報セキュリティ上の目的に基づいて以下のよう に分類することができる。 機密性(Vertraulichkeit)の侵害 機密データへの故意の接近,データの窃取 完全性(Integrität)の侵害 (暗号化ソフトなどによる)データの不正操作・改ざん 可用性(Verfügbarkeit)の侵害 DDoS(分散型サービス妨害)攻撃,DNS 攻撃(DDoS 攻
撃の一種) 信頼性(Authentizität)の侵害 技術的な不正操作による攻撃(スパム・メール , フェイ ク・プレジデント攻撃) 25) 23) Eling, a. a. O. (N.19), S.552-553. 24) Pache, a. a. O. (N.17), S.8-9. 25) 攻撃者が,企業の CEO や指導的立場にある人を装って特定の従業員に対
ドイツにおけるサイバー保険 ⑷ 損害による分類 サイバーリスクの影響を受けた結果として被る損害によって分類する方 法である。損害による分類は保険との親和性が高く,サイバーリスクに対 処する保険の約款構成とも密接に関わるものである。サイバーリスクに起 因する損害は,大きく企業自身が被る「自己損害」と企業以外の第三者が 被る「第三者損害」に分けることができる26)。 自己損害には,物的損害,事業中断損害,費用損害などがある。物的損 害は文字通り「モノ」に対する損害であり,ソフトウェアの不正操作によ り IT 機器が破壊される直接損害に加えて,侵入コントロールシステムや 監視システムが不正操作されることによる間接損害がある。また,事業中 断損害は,IT の欠陥やハッカー攻撃により企業のネットワーク化された 生産ラインが突然停止したり,第三者たる電力供給事業者にサイバーイン シデントが発生することで電力供給が途絶えて企業の生産活動が中断され る場合などに生じる損害である。さらに企業は,データの復元・再取得の 費用,コンピュータ・ウィルスの除去費用,不正アクセスやそのおそれに 対する原因・被害範囲調査費用(フォレンジック費用),顧客や当局への 通知費用,危機管理費用,弁護士費用,PR コンサルティング費用などを 負担することによる費用損害を被る可能性がある。なお企業は,データが マルウェアによって暗号化され解読コードの送付と引き換えに金銭を要求 されるような恐喝・ゆすりの被害を受けた場合には,身代金(Lösegelder) や恐喝に対する金銭(Erpressungsgelder)を負担することによる損害を し E メールなどで多額の金銭を海外の口座へ振り替えるよう要求するサイ バー犯罪の手口であり「CEO 詐欺」とも呼ばれる(Podebrad und Gabel, in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.6)。
26) 企業が被る損害の形態による分類(物理的な損害または非物理的な損害) もある。前者は IT 機器の誤った操作により当該機器が損傷または破壊され ることであり,後者はデータの喪失である(Heidemann, J. und Flagmeier, W., Cyber-Risiken und Versicherungsschutz 4. Aufl., Köln 2018, S.9 und S.19-20)。
被る可能性もある27)。 一方,サイバーリスクは,企業が損害賠償責任を負う可能性がある第三 者損害を生じさせる場合がある。企業は,サイバーインシデントによって 損害を被った第三者から,不法行為に基づく損害賠償責任を追及される可 能性がある。例えば,企業がコンピュータ・ウィルスに感染したメールの 添付ファイルを送付し,そのメールの受取人である第三者が添付ファイル を開くことによって損害を被った場合に損害賠償を請求される可能性があ る。また,企業のネットワーク上で電子的手段により著作権または人格権 侵害がなされた場合には,企業は権利を侵害された者から損害賠償を請求 される可能性がある28)。 企業は,一般的な不法行為法上の損害賠償責任29)に加えて,いくつかの 特別法を根拠とする損害賠償責任を追求される可能性もある。特に近年は, 後述するデータ保護法の厳格化に伴い,企業はデータ保護法違反を根拠と する損害賠償責任を追及されるリスクが高まっている30)。 Ⅲ サイバーリスクを担保する保険とサイバー保険の普及要因 1 サイバーリスクを担保する保険 サイバーリスクを担保する保険は,従来から存在する企業向けの各種 損害保険(以下,従来型保険と表記)と新しく登場したサイバーリスク
27) Heidemann und Flagmeier, a. a. O. (N.26), S.38-39; Wirth, C., in: Gabel/ Heinrich/Kiefner, a. a. O. (N.9), S.324-325.
28) Langen, M. und Stier, D., in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.277; Wirth, in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.323.
29) 民法典(Bürgerliches Gesetzbuch)823 条を根拠とする。
30) 2018 年 5 月 25 日に施行された GDPR は,データ保護法違反による損害 賠償責任に関する規定を 82 条において規定している。GDPR 適用開始前は, ドイツでは旧連邦データ保護法(Bundesdatenschutzgesetz in der Fassung bis zum 25.5.2018, BDSG a.F.)7 条がデータ保護法違反による損害賠償責任 の根拠規定とされていた(Langen und Stier, in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.277)。
ドイツにおけるサイバー保険 に特化する特殊な損害保険(以下,サイバー保険と表記)に大別でき る。従来型保険はさらに,財物保険(Sachversicherung)や賠償責任保 険(Haftpflichtversicherung)などの伝統的な企業分野の損害保険と 1990 年代後半に登場した IT リスクやインターネットに関するリスクを対象と する電子データ処理保険(EDV-Versicherung. 以下,EDV 保険と表記) に分けられ,EDV 保険には,財物保険である電子機器保険やデータ保 険・ソフトウェア保険および事業中断保険(Ausfallversicherung)が含ま れる31)。また,サイバーリスクを担保する保険を引き受ける保険者の観点 から,サイバーリスクに関して,保険で明示的に担保するリスクであるの か,または,担保することを明示していないが除外もしていないリスクで あるのかを区別し,前者は「肯定的サイバー」(affirmative cyber)のリ スク,後者は「サイレント・サイバー」(silent cyber)のリスクと呼ばれ ている32)。 現在,ドイツの保険市場では,サイバーリスクを担保する保険として, 従来型保険とサイバー保険が併存している状況である。近年は,サイバー 保険に対する需要が高まっているものの,大部分の企業はすでに伝統的な 財物保険や賠償責任保険などの従来型保険に加入しているため,こうした 企業は,財物保険や賠償責任保険によってサイバーリスクを(部分的に) 保険者へ移転しているといえる33)。 31) Schröder, a. a. O. (N.15), S.28-31. 32) 「サイレント・サイバー」のリスクへの対応は,欧米の保険業界において 近年重要な課題となっており,保険業界では,従来型保険にサイバーリスク を免責とする規定を付帯することや補償範囲の明確化を図ることなどを通 して,「サイレント・サイバー」のリスクを積極的に管理しようとしている (金・前掲注 2)39 頁以下)。サイバーリスクは多種多様な従来型保険に関 わるリスクであり,保険者および再保険者がこれまで考慮していなかった 集積リスクとなる懸念が増大しているとの指摘がある(Pache, a. a. O. (N.17), S.2)。
33) Bertsch, S., Bieten traditionelle Unternehmens-versicherungen einen ausreichenden Schutz vor Cyberrisken?, Zeitschrift für Versicherungswesen, 09/2019, S.277.
しかし,従来型保険では,サイバーリスクに対して十分な補償が得られ るわけではなく,サイバー攻撃により発生した損害を全面的にもしくは部 分的に除外する規定が存在する場合などには「補償の空白」が生じる可能 性があると指摘される34)。 以下ではまず,従来型保険を大きく財物保険,賠償責任保険およびその 他の保険に分けて,それぞれがサイバーリスクに対してどのような補償を 提供するのかを概観し,サイバーリスクに対する「補償の空白」が生じる 可能性を検討する。 ⑴ 財物保険 財物保険は火災保険,機械保険,電子機器保険などを含む概念であり, その保険事故は物的損害である。つまり,財物保険は,保険契約者が所有 するモノが損傷もしくは破壊または紛失した場合に,保険契約者自身が被 る損害(自己損害)をてん補する保険といえる35)。 このうち代表的な財物保険である火災保険は,列挙された担保危険(火 災,落雷,破裂,衝突,航空機(その部品もしくは積荷)の墜落)により 保険の対象物が破壊もしくは損傷したかまたは紛失した場合に保険給付が なされる36)。この点において,サイバー攻撃はそもそも列挙された担保危 険の現実化には当たらず,かつ,通常は対象物の破壊もしくは損傷または 紛失につながらないことから,サイバー攻撃により発生した損害は火災保 険ではてん補されないと解されている。ただし,例えば,暖房設備の制御 システムがハッカー攻撃を受けて不正に操作されたことにより過熱・発火 して,当該設備や周囲の建物に火災が発生するような場合には,物的損害 34) Achenbach, a. a. O. (N.16), S.1494. 35) Achenbach, a. a. O. (N.16), S.1494. 36) GDV の模範約款である火災保険普通保険約款(Allgemeine Bedingungen für die Feuerversicherung)2014 年版の 1 条 1 項を参照(https://www.gdv. de/resource/blob/6066/85284e0424e1d3a5cd4b50df1b2d88fc/01-allgemeine-bedingungen-fuer-die-feuerversicherung--afb-2010--data.pdf)(最終閲覧 2020 年 1 月 25 日)。
ドイツにおけるサイバー保険 が生じているため火災保険で損害がてん補される可能性がある。もっとも このような損害は,保険者が本来的にてん補することを意図した損害では ないから,「サイレント・サイバー」のリスクの一種といえよう37)。 財物保険は,事業中断保険を追加することで補償範囲を拡張すること ができる。事業中断保険は,物的損害の結果として,保険契約者の事業 が中断または阻害された場合に,それによって生じた収益喪失の損害 (Ertragsausfallschaden)をてん補する保険である38)。つまり,物的損害 の発生を保険給付の要件とすることにより,サイバー攻撃による損害をて ん補することはほとんど想定していないといえる39)。もっとも,近年登場 した「サプライチェーン保険」は,保険給付の要件としての「物的損害の 発生」を放棄しており,サイバー攻撃に起因する IT や通信手段の停止を 損害の原因として保険保護の範囲に含めることで,サイバーリスクに起因 する損害をてん補することができる40)。 また,EDV 保険のうち財物保険の一種である電子機器保険は,保険の 対象物(電子機器・設備)の損傷または破壊による損害をてん補する保険 である。電子機器保険にはサイバー攻撃を除外する規定が含まれないため, 電子機器・設備に対するハッカー攻撃による物的損害はてん補されること になる。ただし,電子機器保険はハードウェアを対象とする保険であるた め,データやプログラムといったソフトウェアにまで保険保護を拡大する 37) Achenbach, a. a. O. (N.16), S,1494; Bertsch, a. a. O. (N.33), S.278. 38) GDV の模範約款である火災・事業中断保険普通保険約款(Allgemeine Feuer-Betriebsunterbrechungs-Versicherungs-Bedingungen)2014 年 版 の 1 条 1 項 を 参 照(https://www.gdv.de/resource/blob/6120/8d3b5291 3f8c4b26fb6ab434b594078d/01-allgemeine-feuer-betriebsunterbrechungs-versicherungs-bedingungen--fbub-2010--data.pdf)(最終閲覧 2020 年 1 月 25 日)。 39) Bertsch, a. a. O. (N.33), S.278; Wirth, in:Gabel/Heinrich/Kiefner, a. a. O.
(N.9), S.343. ただし,財物保険と同様「サイレント・サイバー」のリスクは 存在すると考えられる。
40) Bertsch, a. a. O. (N.33), S.278; Wirth, in:Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.343-344.
ためには,電子機器保険にデータ保険やソフトウェア保険を追加する必要 がある41)。 データ保険は,データまたはプログラムがデータ記憶媒体内に存在する ことを前提として,落雷などでデータ記憶媒体やデータ処理設備が損傷し たことによって,データやプログラムが喪失,変更または自由な処分がで きなくなった場合に,データやプログラムの復元に必要な費用を補償する ものである。したがって,データがハッカー攻撃やマルウェアなどの電子 手段により損傷した場合のように,データの損傷だけでは補償されない42)。 一方,ソフトウェア保険は,データまたはプログラムを蓄積するデータ 記憶媒体またはデータ処理設備の損傷により,データやプログラムの喪 失,変更または自由な処分ができないこととなった場合に,データやプロ グラムの復元に必要な費用を補償する保険である。データ保険とは異なり, データ記憶媒体などの物的損害は必ずしも要件とはされないものの,サイ バー攻撃による損害は原則として除外される43)。したがって,データ保険 やソフトウェア保険では,電子機器や設備に内在するデータまたはプログ ラムに対するサイバー攻撃による損害は,非常に限定的にしかてん補され ないといえる44)。 ⑵ 賠償責任保険 賠償責任保険は,ドイツ保険契約法 100 条に基づき,第三者による理由 のない損害賠償請求から保険契約者を防御すること,および,理由のあ る損害賠償請求から保険契約者を免脱すること45)を保険者の給付義務とす 41) ハードウェアの原状復旧費用も補償される(Bertsch, a. a. O. (N.33), S.279)。 42) Achenbach, a. a. O. (N.16), S.1495; Bertsch, a. a. O. (N.33), S.279. 43) サイバー攻撃のうち,マルウェアによるデータ破壊や DDoS 攻撃などは 明確に除外される。一方,いわゆるフィッシング攻撃のようにマルウェア を使用しない攻撃の場合には除外されない可能性がある(Bertsch, a. a. O. (N.33), S.279)。 44) Achenbach, a. a. O. (N.16), S.1495; Bertsch, a. a. O. (N.33), S.279-280. 45) ドイツの責任保険においては,被保険者は保険者に対して責任から免脱す ることを請求することができるという意味での免脱請求権を有する仕組み
ドイツにおけるサイバー保険 る46)。 一般的な企業向け賠償責任保険は,人的損害もしくは物的損害または それらに起因する財産損害を理由とする損害賠償請求がなされる場合に 保険保護が提供される。GDV が公表している模範約款「企業および職業 賠償責任保険普通保険約款」(Allgemeine Versicherungsbedingungen für die Betriebs - und Berufshaftpflichtversicherung. 以下,AHB BHV と表 記)(2016 年 12 月版)47)によれば,企業賠償責任保険に付されるリスクは, 「保険証券およびその付属書類に記載された企業体の属性,法律関係お がとられ,被保険者は自ら保険金の支払いを請求する権利は有さず,保険 者が被害者に損害賠償金を支払うことを請求する権利を有することになる (例外的に自己資金で第三者に対して損害賠償金を支払った場合に保険者 に対して保険金の支払いを請求することができる)。また,防御については, 防御費用のてん補とともに,保険者は訴訟遂行や和解等について被保険者 のためにする代理権を有すること(わが国でいう示談代行)が規定されて いる(山下友信「D&O 保険と会社法-ドイツ法の場合-」出口正義=吉本 健一=中島弘雅=田邊宏康編青竹正一先生古稀記念・企業法の現在 531 頁(信 山社,2014)。後述する AHB BHV においても,賠償責任保険の保険保護 は「賠償責任問題の調査,理由のない損害賠償請求の防御および理由ある 損害賠償義務からの保険契約者の免脱」に及ぶことが規定され(A1-4.1 der AVB BHV),ドイツの賠償責任保険は,「免脱機能」(Freistellungsfunktion) とともに「防御機能」(Abwerfunktion)を有することが明確にされている (Armbrüster, C., Privatversicherungsrecht 2. Aufl., Tübingen 2019, S.541-543)。ドイツで販売されている賠償責任保険普通保険約款における保険給付 の内容も模範約款と概ね同様であり,保険者では,約款に従って,理由の ない損害賠償請求(正当でない言いがかり的なクレーム)に対して防御す るという運用がなされているものと思われる(ドイツにおける賠償責任保 険普通保険約款として,TOKIO MARINE Europe 社の General terms and conditions for liability insurance (AHB 2010)5.1 条を参照)。
46) Armbrüster, a. a. O. (N.45), S.541-542 および新井修司=金岡京子共訳・ド イツ保険契約法(2008 年 1 月 1 日施行)327-328 頁(日本損害保険協会= 生命保険協会,2008)。 47) https://www.gdv.de/resource/blob/6240/d304da17986df3b8cd3b70d6d8a 35be5/02-avb-betriebs-und-berufshaftpflichtversicherung-dez-2016n-data.pdf (最終閲覧 2020 年 1 月 25 日)。
よび業務に基づく保険契約者の法律上の損害賠償責任」のリスクであり48), 保険事故は,保険期間中に人的損害,物的損害またはそれにより生じる財 産損害を結果として伴う「損害事故」(Schadensereignisse)49)が発生する ことと規定されている50)。なお,AHB BHV は人的損害または物的損害に よらない純粋な財産損害(以下,純粋経済損害と表記)51)についても一定 の範囲で保険保護を提供する旨を規定している。具体的には,個人データ の利用によるデータ保護法違反に基づく純粋経済損害を拡大的にてん補す ること52),および,インターネットや E メールなどによる電子データの交 換,送達および収集に起因して第三者に生じた損害を理由とする保険契約 者の法律上の賠償責任について補償することが規定される53)。ただし,実 務上,企業賠償責任保険において,こうしたサイバーリスクに起因する損 害賠償責任に対する保険保護はあらかじめ制限がなされているという54)。
また,IT サービス事業者向けの賠償責任保険(Besondere Bedingungen und Risikobeschreibungen für die Haftpflichtversicherung von
IT-48) A1-1 der AHB BHV.
49) 損害事故は「その結果として第三者の損害を直接的に発生させる事故」 と解される(Looschelders, D., in: Langheid/Wandt, Münchener Kommentar zum Versicherungsvertragsgesetz, Band1, München 2010, S.596-597)。 50) A1-3.1 der AHB BHV.
51) 純粋な財産損害は,人的損害または物的損害によって生じる損害ではな い。純粋な財産損害と純粋ではない財産損害の境界は「人的損害または物 的損害と財産損害の間に因果関係(ursächlicher Zusammenhang)が存在 するか否かにより決定される」。純粋ではない財産損害は,人的損害または 物的損害と相当因果関係がある損害と解され,直接的な結果損害と間接的 な結果損害に細分化される(Büsken, R., in: Langheid/Wandt, Münchener Kommentar zum Versicherungsvertragsgesetz, Band2, München 2011, S.570-571)。本稿では,純粋な財産損害を「純粋経済損害」と表記して純粋ではな い財産損害と区別する。
52) A1-6.12.3 der AVB BHV.
53) マルウェアによって第三者のデータが削除されたり,使用不能となった り,書き換えられたりしたことによる損害も含まれる(A1-6.13 der AHB BHV)。
ドイツにおけるサイバー保険 Dienstleistern. 以下,BBR-IT と表記)(2007 年 4 月版)55)では,純粋経済 損害について広範な補償が提供される。BBR-IT は,IT サービス事業者 の業務に関連する第三者損害を理由として法律上の損害賠償請求がなされ る場合に保険保護を提供するが,この第三者損害には人的損害および物的 損害のみならず純粋経済損害も含まれる56)。もっとも,BBR-IT はその危険 除外の規定において,データを破壊または改ざんするソフトウェア(ウィ ルスやトロイの木馬など)およびデータ処理システム・ネットワークへの 攻撃(ハッカー攻撃や DoS 攻撃など)に対する安全予防措置を技術水準 に適合させることを意図的な義務違反により怠ることに起因する財産損害 に基づく請求は除外するなど,サイバー攻撃による財産損害について必ず しも包括的な補償を提供するわけではない57)。 さらに,D&O 保険は,GDV の模範約款である「監査役会,取締役 および業務執行者向け財産損害責任保険普通保険約款」(Allgemeine V e r s i c h e r u n g s b e d i n g u n g e n f ü r d i e V e r m ö g e n s s c h a d e n -Haftpflichtversicherung von Aufsichtsräten, Vorständen und Geschäftsführern. 以下,AVB D&O と表記)(2019 年 5 月版)58)によれば,
55) https://www.gdv.de/resource/blob/6166/c737ea639ba99af02337a786 7bd7ef87/07-besondere-bedingungen-und-risikobeschreibungen-fuer-die-haftpflichtversicherung-von-it-dienstleistern-data.pdf(最終閲覧 2020 年 1 月 25 日)。 56) 具体的には,データ保護法違反および人格権侵害による財産損害,第三 者に提供された瑕疵あるソフトウェア,第三者に対して行われた瑕疵ある IT 分析・IT に関する指示・教育およびそれらと結びついた助言,第三者の ために行われた瑕疵あるネットワークの設計・インストール・統合・保持 およびそれらと結びついた助言などの業務に起因する財産損害が列挙され ている(1.1 der BBR-IT)。
57) 自己損害についても補償されない(1.7.1.1 der BBR-IT; Achenbach, a. a. O. (N.16), S.1495-1496)。
58) https://www.gdv.de/resource/blob/6044/9d0c760f8106f1a81a8a20d4cc6ee 12a/05-allgemeine-versicherungsbedingungen-fuer-die-vermoegensschaden- haftpflichtversicherung-von-aufsichtsraeten--vorstaenden-und-geschaeftsfuehrern--avb-d-o--data.pdf(最終閲覧 2020 年 1 月 25 日)。
保険契約者たる企業(その子会社を含む)の現在または過去の監査役会構 成員,取締役構成員または業務執行者を被保険者とし,被保険者がその 業務遂行に際しての義務違反を理由として法律上の賠償責任規定に基づ き,財産損害について損害賠償を請求される場合に保険保護を提供する59)。 財産損害とは,人的損害でも物的損害でもこれらの損害に起因するもの でもない純粋経済損害である60)。また,AVB D&O は,サイバーリスクに 関する除外規定を置いていない61)。したがって,サイバー攻撃の結果,取 締役または業務執行者が会社法の規定62)に基づき会社に対する内部責任 (Innenhaftung)を負担する場合には,D&O 保険によってサイバーリス クに起因する損害がてん補される可能性がある63)。今後,データ保護法の 厳格化などに伴うサイバーリスクの増大により,D&O 保険を適切に組み 合わせたサイバー保険の重要性が高まるとの指摘もある64)。 ⑶ その他の保険 そ の 他 に サ イ バ ー リ ス ク に 起 因 す る 損 害 を て ん 補 す る 保 険 と し て, 身 元 保 証 保 険(Vertrauensschadenversicherung), 権 利 保 護 保 険
59) A-1 der AVB D&O. 60) A-1 der AVB D&O.
61) ドイツで販売される D&O 保険では,一般的に,サイバーリスクに関する 除外規定は置かれていないとされる(Achenbach, a. a. O. (N.16), S.1496)。 62) 株式法 93 条 2 項または有限会社法 43 条 2 項が根拠となりうる(Wirth,
in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.344)。
63) Wirth, in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.344-345. GDPR が適用 されることにより,業務執行者がデータ保護規則上の規定に違反すること によって適法性の義務(Legalitätspflicht)の違反を追及される可能性や取 締役がサイバーインシデントに関して慎重な企業経営者としての義務に違 反することによる責任を追及される可能性がある。一方,サイバーインシ デントの結果,業務執行者が第三者に対して外部的な責任(Außenhaftung) を負う場面は,一般的な人格権侵害による不法行為上の責任を負う場合な ど限定的とされる(Langen und Stier, :in Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.280-281)。
64) Loesti, N., Hess, S. und Barth, V.,Unschuldslämmer auf der Anklagebank, Versicherungswirtschaft, 11/2018, S.101-102.
ドイツにおけるサイバー保険 (Rechtsschutzversicherung)および身代金保険が挙げられる。 身元保証保険は,保険契約者たる企業に対して,その従業員または機 関による意図的な違法行為(窃盗,横領,詐欺やコンピュータの悪用な ど)および外部の第三者による不法行為により,直接的に与えられた損害 をてん補する保険である65)。ただし,第三者の IT システムへの不当な侵入 (ハッカー攻撃)による直接的な損害はてん補されるが,ハッカー攻撃な どによる収益喪失の損害,風評損害などの間接的損害は通常てん補されず, 過失(不注意)により引き起こされた損害もてん補されない66)。 また,権利保護保険は,サイバーリスクに起因する法的追求にかかる訴 訟費用(弁護士費用を含む)を請求または防御の側から補償することが可 能であり,さらに身代金保険は,ランサムウェアによる脅迫に関連して支 出される費用を補償することができる67)。 以上のことから,従来型保険は一定の範囲でサイバーリスクを担保して いるが,サイバーリスクに起因する損害に対して包括的かつ十分な補償が 提供されるわけではない。第一に,サイバー攻撃による自己損害をてん補 する財物保険および事業中断保険は,原則として「物的な損害の発生」を 要件としており,通常この要件を満たさないサイバー攻撃による損害は原則 としててん補されないこと,第二に,一般的な企業賠償責任保険や IT サー ビス事業者向け賠償責任保険では,純粋経済損害について,部分的にまた は包括的にてん補することが明示されているものの,サイバーリスクについ ては制限的にしか担保されないこと,第三に,身元保証保険は,従業員な どの意図的な違法行為による企業の直接的損害をてん補する一方,収益喪 失損害などの間接的損害や過失による損害はてん補しないこと,が挙げら れる。こうした状況を踏まえると,従来型保険では,サイバーリスクについ 65) 典型的には,企業がその信頼できる人物による意図的な不法行為によっ て被った自己損害がてん補される(Achenbach, a. a. O. (N.16), S.1496)。 66) Achenbach, a. a. O. (N.16), S.1496. 67) Pache, a. a. O. (N.17), S.49-50.
て「補償の空白」が生じているものと考えられる。また,従来型保険では, 多くの保険種目において保険者は積極的にサイバーリスクを引き受ける意 図はないものの,当該リスクを除外することを明示していないために,本来 の意図に反してあるいは無意識的にサイバーリスクを担保している(「サイ レント・サイバー」のリスクにさらされている)状況であるといえる68)。 他方で,従来型保険が部分的ではあってもサイバーリスクに対する補償 を提供している状況に鑑みれば,新たに締結する包括的なサイバー保険と の間に,「補償の重なり」が生じる可能性もある69)。保険契約者たる企業に とっては,サイバーリスクに適切に対処するために「補償の空白」や「補 償の重なり」が生じない最善の保険を獲得することが重要となる70)。 2 サイバー保険の導入と普及要因 ⑴ サイバー保険の導入 ドイツでは,サイバーリスクに特化したサイバー保険の歴史は 10 年程 68) 「サイレント・サイバー」のリスクは,保険者側に存在するリスクである のに対し,「補償の空白」は保険契約者(企業)にとっての問題である。企 業の側からは,自社の潜在的なサイバーリスクのうち,従来型保険で「サイ レント・サイバー」のリスクとして補償されるリスク以外については,基 本的に「補償の空白」が生じているということができるだろう。 69) VVG77 条の併存保険(Mehrfachversicherung)および同 78 条の重複保 険となる可能性が指摘される(Wirth, in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.342-343)。VVG77 条 1 項 1 文は「一個の利益につき同一の危険に対 する保険契約を数人の保険者と締結した者は,各保険者に対し他の保険に ついて遅滞なく通知する義務を負う」と規定する。また,78 条 1 項により 重複保険となった場合に,保険者は各自の契約に基づき支払うべき金額に ついて連帯債務者として責任を負う(新井=金岡・前掲注 46)280 頁およ び 282 頁)。 70) 対応策として,従来型保険からサイバーリスクを完全に除外したうえで, サイバーリスクに特化した包括的なサイバー保険を獲得すること,または, 従来型保険に広範なサイバーリスクの補償を付加したうえで,それでもな お残るリスクについては限定的なサイバー保険を獲得して対処することが 提唱される(Wirth, in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.343)。
ドイツにおけるサイバー保険 度と浅い71)。米国で誕生し普及したサイバー保険がドイツに導入された当 初は,ニッチな保険商品であったが,法的環境の変化に伴うサイバーリス クの増大や約款の整備による保険商品の開発の進展によって状況は大きく 変化し,需要が高まることとなった。ドイツのサイバー保険市場は需要に 合わせて進化を続けており,企業の個別ニーズに応じた保険処理を可能と する点では他に類をみない存在となっている72)。 ⑵ サイバー保険の普及要因 近年のドイツにおけるサイバー保険の普及の背景には,以下に挙げる法 規制の強化と保険約款の整備が大きく関わっている73)。 ①法規制の強化 法規制の強化の観点では,IT セキュリティを強化するための法整備74) に加えて,GDPR75)が 2018 年 5 月 25 日以降,EU 加盟国において直接適 71) Pache, a. a. O. (N.17), S.1. 72) 2015 年のドイツにおける保険料収入は約 3000 万ユーロである。今後,ド イツ,オーストリアおよびスイスをあわせたサイバー保険の保険料規模は, 2021 年に 4 億ユーロから 8 億ユーロ,2026 年に 30 億ユーロから 60 億ユーロ, 2036 年には 120 億ユーロから 260 億ユーロへ増大することが予想されてい る(KPMG, Digitalisierung und Cyber Studie 2017, S.28 und S.34(https:// assets.kpmg.com/content/dam/kpmg/ch/pdf/neues-denken-neues-handeln-cyber-de.pdf)(最終閲覧 2020 年 1 月 25 日)。
73) Wirth, in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.320-322.
74) ド イ ツ の IT セ キ ュ リ テ ィ に お け る「 重 大 な 改 革 」 と し て,2015 年 7 月 25 日 に IT セ キ ュ リ テ ィ 法(Gesetz zur Erhöhung der Sicherheit informationstechnischer System, IT-Sicherheitsgesetz) が 発 効 し て い る (Wimmer, N. und Mechler, R., in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.124)。 75) GDPR は 2016 年 4 月 14 日に欧州議会が採択し,同月 27 日に成立した。 GDPR は「民間事業者のみならず公的機関や公的団体もその適用対象とする, EU 域内に所在する自然人の個人データを保護するためのいわゆるデータプ ロテクションに関する法律」とされる。GDPR は「規則」(Regulation)で あるため,EU 加盟国に対して一律に直接適用される(森大樹[編集代表] 藤原総一郎・塚本宏達・鈴木明美[編著]・日米欧個人情報保護・データプ ロテクションの国際実務 53-54 頁(商事法務,2018))。なお,個人情報保
用されている点が挙げられる76)。GDPR とは,「個人データの処理および EEA 域外への移転を行うための要件を定めるとともに,処理または移転 を行う者が遵守すべき規範・義務を定めた規則」とされる77)。 GDPR の目的は,EU 域内市場におけるデジタル化の進展を背景として, 個人データの取扱いに際して自然人を保護することおよび EU 域内での個 人データの自由な移動を保護することである(GDPR1 条)78)。 GDPR および GDPR により各国内法に委任されている箇所についての データ保護法79)は,サイバーセキュリティ上重要な意義を有する。その理 由は, 個人のデータが企業のネットワークおよびシステム上でサイバー攻 撃の対象とされやすく,不正に取得したユーザーや顧客のデータを売って 資金を獲得するサイバー犯罪につながりやすいためである。データ保護法 は,データ処理におけるセキュリティ上の幅広い要求やデータ保護違反 の扱いを明確に定めることで,個人のデータをサイバー犯罪などの侵害行 為から守ることを意図している。また,企業は,個人データの処理に際し, 護委員会は,GDPR の前文および条文の日本語仮訳を公表している(htts:// www.ppc.go.jp/enforcement/infoprovision/laws/GDPR)(最終閲覧 2020 年 1 月 25 日)。以下,本稿において GDPR の条文を参照する場合には,同委 員会の仮訳を参考にしている。
76) Wirth, in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.320.
77) 岡 田 淳・ 田 中 浩 之・ 杉 本 武 重[ 編 著 ] 森・ 濱 田 松 本 法 律 事 務 所・ Bird&Bird LLP データプロテクションチーム[著]・実務担当者のための欧 州データコンプライアンス- GDPR からeプライバシー規則まで 3 頁(商 事法務,2019)を参照。
78) Gabel, D., in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.90.
79) GDPR は EU 加盟国に直接適用されるが,他方で,GDPR は加盟国の立法 機関に対し「開放条項」(Öffnungsklauseln)(GDPR とは異なるルールもし くは GDPR を補足するルールを定めることを認める規定)や加盟国に対す る特定の「ルールの委任」(Regelungsaufträge)を定めている。これに基づ いて,ドイツの立法機関は,旧連邦データ保護法(BDSG a.F.)と置き換え られる新連邦データ保護法(Bundesdatenschutzgesetz in der Fassung ab dem 25.5.2018, BDSG (neu))を GDPR の適用と同時に発効させている(Gabel, in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.91)。
ドイツにおけるサイバー保険 サイバー攻撃の認識や防御に役立つ安全措置(例えば,ネットワーク・モ ニタリング)を講じることが要求される。サイバーセキュリティの観点か らは,業種を問わずあらゆる企業は,個人データを処理する範囲において データ保護法との関係を常に意識しなければならないことになる80)。 GDPR の適用を通してデータ保護法規制の強化がなされたことは,後 述するデータ保護法違反に基づく企業の賠償責任リスクの高まりなどから, ドイツにおけるサイバー保険の普及を促進するものと考えられる81)。 ②保険約款の整備 ドイツにおいてサイバー保険に関する統一的な保険約款および料率表は 存在しない。これにより,企業は個別の補償ニーズに応じて,テーラー・ メイドの保険約款の作成について保険者と交渉する機会が得られる一方, 保険商品の比較可能性の観点では困難を伴うことになる82)。 こ う し た 中,GDV は, 拘 束 力 の な い サ イ バ ー 保 険 の 模 範 約 款 (Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung. 以下,AVB Cyber と表記)を作成し 2017 年 4 月に公表し ている83)。AVB Cyber は,中小企業(売上高が 5,000 万ユーロまででかつ 従業員数が 250 人まで)の需要に合わせて作成されたものであり,大企業 や国際的に活動する企業の需要に必ずしも応えられるものではないが,模 範約款の公表を通してより多くの保険者がサイバー保険市場に参入するこ とを可能にすることで保険者間の競争を促進し,もってサイバー保険を進 化させる契機になるものと期待されている84)。
80) Gabel, in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.88-89.
81) M. S., Cybermarkt Deutschland: Fokus auf Risikobegrenzung, Zeitschrift für Versicherungswesen, 20/2018, S.600.
82) Wirth, in: Gabel/Heinrich/Kiefner, a. a. O. (N.9), S.321.
83) https://www.gdv.de/resource/blob/6100/d4c013232e8b0a5722b7655b 8c0cc207/01-allgemeine-versicherungsbedingungen-fuer-die-cyberrisiko-versicherung--avb-cyber--data.pdf(最終閲覧 2020 年 1 月 25 日)。
84) 中小企業はシステムの安全性や顧客データ保護の面で脆弱性を抱えてお り,サイバー攻撃の標的とされる可能性が高まっている(すでに約 4 社に
Ⅳ サイバー保険 1 サイバー保険の約款構成 前述の通り,ドイツにおいて統一されたサイバー保険約款および料率表 は存在しないことから,欧米の大手保険会社85)およびブローカーがそれぞ れ異なるサイバー保険約款を作成し提供している。各保険者の保険約款を 単純に比較することはできないものの,一般的には,大きく 2 つの補償の 構成要素,すなわち第三者損害に対する賠償責任補償および自己損害に対 する補償から成り立っている。後者はさらに,収益喪失の損害と費用損害 の補償に分けられる86)。 一 方,GDV の AVB Cyber は, サ イ バ ー 保 険 の 保 険 保 護 に 関 す る 規定(Teil A)と保険契約当事者間の一般的な権利義務に関する規定 (Teil B)の 2 つのパートから構成され,Teil A はさらに,基本的な事 項を定めた構成要素(Basis-Baustein),サービスおよび費用補償の構成 要素(Service und Kosten-Baustein),第三者損害に対する賠償責任補 償の構成要素(Drittschaden-Baustein)および自己損害の補償の構成要 素(Eigenschaden-Baustein)という 4 つの構成要素から成り立ってい る。Teil B は,一般的な保険契約上の取決めに関する構成要素であるため, サイバー保険に特有の規定は,Teil A ということになる87)。 1 社がネットワークを介した攻撃により金銭的かつ物質的な損害を被って いる)ことを受けて作成されたものであり,保険業界のサイバー犯罪に対 する取組みに貢献するものとして期待されている(GDV, Pressemitteilung der Versicherungswirtschaft)。 (https://www.gdv.de/resource/blob/8266/11a7ff0aec8a988e58d87792bb2c79 ff/gdv-stellt-musterbedingungen-f-r-cyberversicherung-vor--194087128-data. pdf)(最終閲覧 2020 年 1 月 25 日)
85) 2016 年 12 月 時 点 で,AIG, Allianz, AXA, CHUBB, CNA, DUAL, HDI, HISCOX, TOKIO MARINE KILN, ZURICH などがドイツでサイバー保険を 販売している(KPMG, supra note 72, p.19)
86) Heidemann und Flagmeier, a. a. O. (N.26), S.94-99. 87) Achenbach, a. a. O. (N.16), S.1497.
ドイツにおけるサイバー保険
AVB Cyber の Teil A の構成要素をまとめると以下の通りとなる。
88) 89) 基本的な事項を定めた構成要素 保険の目的,定義,保険事故・保険期間,保険契約者・被保険者 ,適用地域,保険事故発 生前の IT セキュリティの保証に対する保険契約者の義務(Obliegenheiten) ,一般的な除 外事由等 自己損害の補償の構成要素 第三者損害に対する賠償責任 補償の構成要素 サービスおよび費用補償の構 成要素 ・ 事業中断による経済損害に 対する補償 ・ データ復元とシステム復旧 のための費用補償 情報セキュリティの侵害を理 由として第三者から法律上の 損害賠償請求を提起された場 合の補償(理由ある請求から の免脱および理由のない請求 への防御) ・ サービス給付と費用補償 (IT フォレンジック専門 家,IT およびデータ保護 を専門とする弁護士,広報 活動の専門家) ・ 保険事故発生時の費用補 償(通知費用および外部の コールセンター委託費用) ・ 保険事故発生前の損害防止 費用 実際に販売されているサイバー保険においても,自己損害の補償および 第三者損害に対する賠償責任補償が基礎的な補償として規定され,追加の サービス給付および費用補償が個別に取り決められることが一般的であり, サイバー保険ではこうした個別の取決めを通して,より広範な保険保護が なされるという特徴を有している90)。 以下では,ドイツのサイバー保険の内容を知る手掛かりとして,AVB 88) 被保険者には,保険証券に記載される保険契約者および同時に保険に付 される企業ならびにそれらと労働契約または雇用契約を結ぶ労働者や従業 員(パートタイム労働者を含む),機関構成員が含まれる(A1-7 der AVB Cyber)。
89) Pflicht とは異なり,その不履行によって損害賠償義務を生ずる本来の義 務ではない(山田晟著・ドイツ法律用語辞典〔改訂増補版〕459 頁(大学書林, 2001)。
Cyber を主に参照しつつ,サイバー保険の特徴および保険保護の範囲を概 観する。 2 サイバー保険の目的 AVB Cyber によれば,サイバー保険の目的は,情報セキュリティの侵 害(Informationssicherheitsverletzung)により引き起こされる財産損害 (Vermögensschäden)である91)。ここで重要となるのは,「情報セキュリ ティの侵害」と「財産損害」の意義である。 ⑴ 情報セキュリティの侵害 「情報セキュリティ」の概念は,法的な定義がなされているわけでは ないが,ドイツ連邦 IT 安全保障庁(Bundesamt für Sicherheit in der Informationstechnik. 以下,BSI と表記)が情報セキュリティマネジメン トシステムの国際規格である ISO27001 に基づいて「機密性,完全性およ び可用性」という 3 つの基本的価値の保護であると定義している92)。より 具体的には,機密性は不正アクセスに対する機密情報の保護,完全性は許 容されない情報の改ざんや消去に対するデータおよび情報システムの保護, そして可用性は情報および情報処理システムへ適時にかつ確実にアクセス できることであると指摘される93)。こうした情報セキュリティは,BSI が
91) A1-1 der AVB Cyber. 92) Pache, a. a. O. (N.17), S.9. 93) Pache, a. a. O. (N.17), S.10. 機密性の喪失は,一般市民や顧客の個人データ または企業の機密内部データ(例えば売上高,マーケティング,調査・研 究,開発手法)が意図せず公開されることにつながる。また,完全性の喪 失は,偽造されたデータにより誤った予約・納品や欠陥ある製品の製造に つながることやデータが偽の(不実な)人の手にわたることにより「デジ タル・アイデンティティ」がゆがめられる可能性がある。さらに可用性の 喪失は,基礎的な情報が欠如することで業務の遂行を妨げたり,IT システ ムの不稼働により金融取引やオンライン注文ができなくなったり,製造プ ロセスが滞ってしまうなどの重大な問題につながる可能性がある。こうし た機密性・完全性・可用性の喪失による情報セキュリティの欠如は,結果 として大きな損害をもたらす可能性があるとされる(BSI, a. a. O. (N.10),
IT-ドイツにおけるサイバー保険 「基礎的な危険」(Elementare Gefährdungen)94)として位置付ける様々な 原因によって侵害されることが想定される。 AVB Cyber は「情報セキュリティの侵害」を「保険契約者の電子デー タ,または,企業経営上もしくは職業上の活動を行うために利用される情 報処理システム95)」の「可用性,完全性および機密性が侵害されること」 と定義したうえで96),情報セキュリティの侵害は,以下のインシデント (Ereignisse)によって引き起こされたものでなければならないとする97)。 ・保険契約者の電子データまたは情報処理システムへの攻撃 ・保険契約者の電子データへの不正なアクセス ・保険契約者の情報処理システムの侵害 ・保険契約者によるデータ保護法上の規定の違反に至る行為または不作為 ・ 保険契約者の電子データまたは情報処理システムに影響を与えるマル ウェア ここから,包括的な「情報セキュリティの侵害」の定義だけを考慮する ならば,サイバー保険は「オールリスク型の保険」と理解することも可能 Grundschutz-Basis für Informationssicherheit, S.1) 94) 火災,悪天候,自然災害,電力供給や通信網の遮断,情報の探知(スパ イ活動),機器やデータ記憶媒体の窃盗・紛失・破壊,データ記憶媒体・シ ステムの故障,ハードウェア・ソフトウェアの不正操作,不当な IT システ ムへの侵入,ソフトウェアの弱点・欠陥,法律・規則の違反,権限の乱用, 脅迫・恐喝・ゆすり,アイデンティティの窃盗,個人データの悪用,マルウェ ア,DoS 攻撃,妨害工作,データ喪失など 47 の危険が列挙される(BSI, a. a. O. (N.10), Elementare Gefährdungen, S.1-2)。 95) 「情報処理システム」の概念について,類型的には「IT システム」と同 義であり,約款の文言および解釈上は,「保険契約者が,企業経営上また は職業上の活動を行うために利用するすべての IT インフラであって,保 険保護の範囲に含まれるもの」と解される(Malek, P. und Schilbach, D., Versichertes Risiko in der Cyber-Versicheung - Umfang und Grenzen des Deckungsschutzes, Versicherungsrecht, Heft21/ 2019, S.1322)。
96) A1-2.1 der AVB Cyber. なお,電子データにはソフトウェアとプログラム が含まれる(A1-2.3 der AVB Cyber)。
であるが,一方で,情報セキュリティの侵害の原因となるインシデント が限定されており,これによって「第一次 Risiko 制限」98)がなされている。 第一次 Risiko 制限は,サイバー保険における担保危険の限定であり,保 険保護を一定の範囲に制限するものであるから,明確さと透明性が要求さ れるものである99)。言い換えれば,「情報セキュリティの侵害」という抽象 的なリスクの記述(Risikobeschreibung)とその原因となる具体的に列挙 された担保危険(versicherte Gefahren)との組合せによって,担保危険 の記述(限定)がなされているといえる100)。 ⑵ 財産損害 AVB Cyber は財産損害について「人的損害(殺人,身体の損傷または 人の健康が害されること)でも物的損害(物の損傷,腐敗,滅失または紛 失)でもなく,また,これら人的損害および物的損害から直接的に発生す る損害でもない」と規定する。また,電子データ自体は AVB Cyber では 「物」に該当せず,物的なデータ記憶媒体(例えば USB メモリー)の紛 失により電子データが紛失した場合には,財産損害としててん補される101)。 前述の通り,従来型保険では,サイバーリスクを積極的に担保すること は必ずしも意図されておらず,企業賠償責任保険は人的損害もしくは物的 損害またはそれらに起因する財産損害を理由とする損害賠償請求がなされ る場合に保険保護が提供され,また,財物保険や事業中断保険は物的損害 の発生を保険給付の要件とする。これに対し,サイバーリスクに特化する AVB Cyber は,人的損害および物的損害以外の純粋経済損害を保険の目 98) 第一次 Risiko 制限の意義については,内藤和美「わが国における権利保 護保険の機能と課題」保険学雑誌 634 号 99-100 頁(2016)を参照のこと。 99) Achenbach, a. a. O. (N.16), S.1498. ド イ ツ の サ イ バ ー 保 険 で は「 情 報 セキュリティの侵害」は多くの保険約款において使用されている概念である (Dammalacks, S., Vorsicht bei Cyberkrieg- und Cyberterror- Ausschlüssen - Auswirkungen von Kumulrisiken und hidden Risks auf die Cyberversicherung, VersicherungsPraxis, 1/2019, S.4)。
100)Malek und Schilbach, a. a. O. (N.95), S.1322.
