(1)個人情報
漏えい共済制度
(個人情報漏えい保険 サイバーリスク保険 団体契約制度)
〈東京商工会議所会員の皆様へ〉
個人情報や法人情報
※
の漏えいまたは
そのおそれによる
「損害賠償金、訴訟費用等」・
「各種費用」
を補償する
共済制度
です。
※個人情報漏えい補償プランについては法人情報漏えい担保特約(オプション)の付帯が必要です。
個人情報保護法・
マイナンバー制度
にも対応
保険期間:
2019
年
2
月
1
日
午後
4
時
~
2020
年
2
月
1
日
午後
4
時
保険期間:
2019
年
2
月
1
日
午後
4
時
~
2020
年
2
月
1
日
午後
4
時
毎月
1
日補償開始の中途加入も可能です。
毎月
1
日補償開始の中途加入も可能です。
●
近年増加している標的型メールやランサムウェア等の
サイバー攻撃への備えとして、
サイバーリスク補償プラン
を
ご用意しております。是非ご検討ください!!
●
東京商工会議所の団体制度であるため、一般での加入より
割安な保険料
(※)
で加入できます。
(※)個人情報漏えい保険部分のみとなります。
契 約 者 東京商工会議所
制度運営 東京商工会議所 共済センター
〒100-0005 東京都千代田区丸の内3-2-2
丸の内二重橋ビル
TEL.03-3283-7909
●お問い合わせ先
東京商工会議所 「個人情報漏えい共済制度」
幹事代理店
株式会社東商サポート
&
サービス
TEL.03-3213-3847 FAX.03-3283-7768
〒100-0005 東京都千代田区丸の内3-2-2
丸の内二重橋ビル
東京海上日動は、保険業法に基づく金融庁長官の指定を受けた指定
紛争解決機関である一般社団法人 日本損害保険協会と手続実施基本
契約を締結しています。
東京海上日動との間で問題を解決できない場合には、同協会に解決の
申し立てを行うことができます。
詳しくは、同協会のホームページをご覧ください。
(
http://www.sonpo.or.jp/
)
一般社団法人 日本損害保険協会 そんぽ
ADR
センター(指定紛争解決機関)
■引受損害保険会社 東京海上日動火災保険株式会社(担当課支社)
■取扱代理店(ご相談・お問合せ)
■事故時の連絡先 東京海上日動安心110番
TEL
:0120-119-110(受付時間:24時間受付)
0570–022808
〈通話料有料〉
IP
電話からは03-4332-5241をご利用ください。
受付時間:平日 午前9時15分~午後5時
(土・日・祝日・年末年始はお休みとさせていただきます。)
2018年11月作成 18-T07067
※幹事代理店は㈱東商サポート
&
サービスです。
募集は右記代理店が担当しますので
詳細につきましてはお問合わせください。
〈保険会社が経営破綻した場合等の取扱いについて〉
引受保険会社の経営が破綻した場合等には、保険金、返れい金等の支払
いが一定期間凍結されたり、金額が削減されることがあります。
なお、引受保険会社の経営が破綻し、ご契約者が個人、或いは、「小規模
法人」(破綻時に常時使用する従業員等の数が20人以下の日本法人、外
国法人(日本における営業所等が締結した契約に限る))またはマンショ
ン管理組合である場合には、この保険は「損害保険契約者保護機構」の
補償対象となり、保険金、返れい金等は原則として80%(破綻保険会社の
支払停止から3か月間が経過するまでに発生した保険事故に係る保険金
については100%)まで補償されます。
※保険契約者が個人等以外の者である保険契約であっても、その被保険者である個人
等がその保険料を実質的に負担すべきこととされているもののうち、その被保険者
に係る部分については、上記補償の対象となります。
〈もし事故が起きたときは(サイバーリスク保険)〉
(右記の
6
つの費用:不正アクセス等対応費用、原因・被害範囲調査費用、
相談費用、データ等復旧費用、その他事故対応費用、再発防止費用)
ご契約者または被保険者が、保険事故または保険事故の原因となる偶然
な事故を発見したときは、遅滞なく、事故発生の日時・場所、事故発見の日
時、被害者の住所・氏名、事故状況、受けた損害賠償請求の内容その他の
必要事項について、書面でご契約の代理店または引受保険会社にご連絡
ください。ご連絡が遅れた場合は、保険金を減額してお支払いすることが
ありますのでご注意ください。なお、保険金請求にあたって攻撃内容やイ
ンシデントの詳細等の情報のご提出が必要になります。
保険金請求権には、時効(
3
年)がありますのでご注意ください。
(上記
6
つの費用以外)
ご契約者または被保険者が、保険事故または保険事故の原因となりうる
偶然な事故または事由が発生したことを知ったときは、遅滞なく、事故発
生の日時・場所、被害者の住所・氏名、事故状況、受けた損害賠償請求の内
容その他の必要事項について、書面でご契約の代理店または引受保険
会社にご連絡ください。ご連絡が遅れた場合は、保険金を減額してお支
払いすることがありますのでご注意ください。なお、保険金請求にあたっ
て攻撃内容やインシデントの詳細等の情報のご提出が必要になります。
保険金請求権には、時効(
3
年)がありますのでご注意ください。
〈示談交渉サービスは行いません〉
この保険には、保険会社が被害者の方と示談交渉を行う「示談交渉サー
ビス」はありません。事故が発生した場合は、被保険者自身が、保険会社
の担当部署からの助言に基づき被害者との示談交渉を進めていただく
ことになりますので、ご承知置きください。
また、保険会社の承認を得ずに被保険者側で示談締結されたときは、示
談金額の全部または一部を保険金としてお支払いできないことがありま
すので、ご注意ください。
〈代理店の業務〉
幹事代理店並びに取扱代理店は、引受保険会社との委託契約に基づき、
保険契約の締結、契約の管理業務等の代理業務を行っております。した
がいまして、取扱代理店と有効に成立したご契約は、引受保険会社と直接
締結されたものとなります。
● このパンフレットは、個人情報漏えい保険(個人情報漏えい特別約款)
およびサイバーリスク保険の概要を紹介したものです。詳細は契約者
である団体の代表者の方にお渡ししてあります保険約款によりますが、
保険金のお支払条件・ご加入手続き、その他この保険の詳しい内容等
ご不明の点がありましたら取扱代理店または引受保険会社にご照会く
ださい。なお詳細は約款をご覧ください。ご加入を申し込まれる方(ご
加入者)と被保険者が異なる場合は、ご加入者からこのパンフレットの
内容を被保険者全員にご説明いただきますようお願い申し上げます。
● この保険は、東京商工会議所を保険契約者とし、東京商工会議所の会
員を記名被保険者とする個人情報漏えい保険の団体契約です。保険
証券を請求する権利、保険契約を解約する権利等は、東京商工会議所
が有します。
〈重大事由による解除について〉
以下に該当する事由がある場合には、引受保険会社はご加入を解除する
ことができます。
この場合には、全部または一部の保険金をお支払いできないことがあり
ますので、ご注意ください。
● ご契約者、被保険者等が引受保険会社にこの保険契約に基づく保険金
を支払わせることを目的として損害等を生じさせた場合
● ご契約者、被保険者等が、暴力団関係者その他の反社会的勢力に該当
すると認められた場合
● この保険契約に基づく保険金の請求に関し、被保険者等に詐欺の行為
があった場合 等
〈補償の重複に関するご注意〉
補償内容が同様の保険契約(特約条項や引受保険会社以外の保険契約
を含みます。)が他にある場合は、補償が重複することがあります。
補償が重複すると、対象となる事故について、どちらのご契約からでも補
償されますが、いずれか一方のご契約からは保険金が支払われない場合
があります。
補償内容の差異や支払限度額をご確認のうえ、ご契約の要否をご検討く
ださい。
(2)東京商工会議所の団体制度であるため、一般での加入より
割安な保険料
(※1)
で加入できます。
(※
1
)個人情報漏えい保険部分のみとなります。
従業員・アルバイトの個人情報も対象となりますので
マイナンバー制度にも適合しています
。
個人情報漏えいやその「おそれ」が発生した場合
の損害賠償金や、被害者への見舞金、原因調
査費用などが補償されます。
従業員や委託先事業者による漏えいや、廃棄された記録媒体からの漏えい
も対象となります。
(※2)
(※
2
)保険契約者・被保険者が他人に損害を与えるべきことを認識していた行為等は、保険金のお支払い対象となりません。
個人情報漏えい共済制度では、以下
2
種類のプランをご用意しております。サイバー攻撃から幅広くお守り
するサイバーリスク補償プランのご加入を是非ご検討ください。
①
個人情報漏えいプラン(ベーシックプラン)
個人情報・法人情報(オプション)の漏えいに起因して発生した損害賠償や各種費用を補償するベーシックなプランです。
②
サイバーリスク補償プラン(プレミアムプラン)
個人情報漏えい補償プランの補償に加えて、ネットワークの所有使用に起因して発生した不測の事由や、情報漏えい
が発生する以前の不正アクセス等のおそれの発見時点から必要となる費用を補償し、幅広くサイバー攻撃から包括
的にお守りするプレミアムプランです。
※「サイバーリスク補償プラン」の補償範囲には、「個人情報漏えい補償プラン」およびオプションの「法人情報漏えい担保特約」、「クレ
ジットカード番号等漏えい危険担保特約条項」、「
e-
リスク担保特約条項」を含みます。(下記図
2
をご参照ください。)
1
2
3
4
包括的な補償
事業活動を取り巻くサイバーリスクを1つの保険で包括的に補償
します。
不正アクセス等の“おそれ”の調査費用、再発防止
費用、情報システムの復旧費用(オプション)も補償
不正アクセス等の発見時の各種対応費用だけでなく、不正アクセ
ス等の“おそれ”が発見された時の外部機関への調査を依頼する
費用、事故が収束した後の再発防止費用も補償します。
海外でなされた損害賠償請求も補償
海外でなされた損害賠償請求についても補償します。
IoT
機器への対応
IoT
機器への不正アクセスやIoT
機器から情報が漏え
いした場合等の各種損害も補償します。
サイバーリスク総合支援サービスのご提供
保険による補償とは別に、「サイバーリスク総合支援サー
ビス」がご利用いただけます。
〔プレミアムプラン〕
サイバーリスク補償プランの
特長
特長
特長
個人情報漏えい共済制度の
特長
特長
特長
図
1
個人情報漏えい共済制度のプランについて
図
3
個人情報漏えい補償プランとサイバーリスク補償プランの比較
図
2
補償範囲イメージ
個人情報漏えい補償プラン
(ベーシックプラン)
基本補償
・賠償責任
・費用損害
法人情報
漏えい担保
特約条項
クレジットカード
番号等漏えい危険
担保特約条項
e-リスク
担保特約条項
不正アクセス等による
対人・対物事故担保
特約条項
P.
3
へ IT
IT
ユーザー事業者 P.
P.
6
~4
~7
へ5
へ
・ 法人情報漏えい担保特約条項
・ e-リスク担保特約条項
・クレジットカード番号等漏えい危険担保特約条項
・ 求償権不行使特約条項
(オプション)
・ 求償権不行使特約条項
・不正アクセス等による対人・対物事故担保特約条項
・情報システム復旧費用担保特約条項
・ 追加被保険者特約条項
※リスク区分が、「ITユーザー」or「IT事業者」or「ITユーザー・
IT事業者」によって、補償および保険料が異なります。
個人情報漏えい共済制度
個人情報漏えい補償プラン
(ベーシックプラン)
補償なし
サイバーリスク補償プラン
(プレミアムプラン)
個人情報漏えい補償プラン
(ベーシックプラン)
不正アクセス等の有無を
判断するための調査依頼費用
原因調査費用(フォレンジック費用)、
コンサルティング費用等
原因調査費用(フォレンジック費用)、
コンサルティング費用等
不正アクセス等の
おそれの発見 (=情報漏えいのおそれ)不正アクセス等の発見
1
2
3
サイバーリスク補償プラン
(プレミアムプラン)
サイバーリスク補償プラン
(プレミアムプラン)
(オプション) オプション
4
5
情報システム
復旧費用担保
特約条項
追加被保険者
特約条項 求償権不行使特約条項
(3)東京商工会議所の団体制度であるため、一般での加入より
割安な保険料
(※1)
で加入できます。
(※
1
)個人情報漏えい保険部分のみとなります。
従業員・アルバイトの個人情報も対象となりますので
マイナンバー制度にも適合しています
。
個人情報漏えいやその「おそれ」が発生した場合
の損害賠償金や、被害者への見舞金、原因調
査費用などが補償されます。
従業員や委託先事業者による漏えいや、廃棄された記録媒体からの漏えい
も対象となります。
(※2)
(※
2
)保険契約者・被保険者が他人に損害を与えるべきことを認識していた行為等は、保険金のお支払い対象となりません。
個人情報漏えい共済制度では、以下
2
種類のプランをご用意しております。サイバー攻撃から幅広くお守り
するサイバーリスク補償プランのご加入を是非ご検討ください。
①
個人情報漏えいプラン(ベーシックプラン)
個人情報・法人情報(オプション)の漏えいに起因して発生した損害賠償や各種費用を補償するベーシックなプランです。
②
サイバーリスク補償プラン(プレミアムプラン)
個人情報漏えい補償プランの補償に加えて、ネットワークの所有使用に起因して発生した不測の事由や、情報漏えい
が発生する以前の不正アクセス等のおそれの発見時点から必要となる費用を補償し、幅広くサイバー攻撃から包括
的にお守りするプレミアムプランです。
※「サイバーリスク補償プラン」の補償範囲には、「個人情報漏えい補償プラン」およびオプションの「法人情報漏えい担保特約」、「クレ
ジットカード番号等漏えい危険担保特約条項」、「
e-
リスク担保特約条項」を含みます。(下記図
2
をご参照ください。)
1
2
3
4
包括的な補償
事業活動を取り巻くサイバーリスクを1つの保険で包括的に補償
します。
不正アクセス等の“おそれ”の調査費用、再発防止
費用、情報システムの復旧費用(オプション)も補償
不正アクセス等の発見時の各種対応費用だけでなく、不正アクセ
ス等の“おそれ”が発見された時の外部機関への調査を依頼する
費用、事故が収束した後の再発防止費用も補償します。
海外でなされた損害賠償請求も補償
海外でなされた損害賠償請求についても補償します。
IoT
機器への対応
IoT
機器への不正アクセスやIoT
機器から情報が漏え
いした場合等の各種損害も補償します。
サイバーリスク総合支援サービスのご提供
保険による補償とは別に、「サイバーリスク総合支援サー
ビス」がご利用いただけます。
〔プレミアムプラン〕
サイバーリスク補償プランの
特長
特長
特長
個人情報漏えい共済制度の
特長
特長
特長
図
1
個人情報漏えい共済制度のプランについて
図
3
個人情報漏えい補償プランとサイバーリスク補償プランの比較
図
2
補償範囲イメージ
個人情報漏えい補償プラン
(ベーシックプラン)
基本補償
・賠償責任
・費用損害
法人情報
漏えい担保
特約条項
クレジットカード
番号等漏えい危険
担保特約条項
e-リスク
担保特約条項
不正アクセス等による
対人・対物事故担保
特約条項
P.
3
へ IT
IT
ユーザー事業者 P.
P.
6
~4
~7
へ5
へ
・ 法人情報漏えい担保特約条項
・ e-リスク担保特約条項
・クレジットカード番号等漏えい危険担保特約条項
・ 求償権不行使特約条項
(オプション)
・ 求償権不行使特約条項
・不正アクセス等による対人・対物事故担保特約条項
・情報システム復旧費用担保特約条項
・ 追加被保険者特約条項
※リスク区分が、「ITユーザー」or「IT事業者」or「ITユーザー・
IT事業者」によって、補償および保険料が異なります。
個人情報漏えい共済制度
個人情報漏えい補償プラン
(ベーシックプラン)
補償なし
サイバーリスク補償プラン
(プレミアムプラン)
個人情報漏えい補償プラン
(ベーシックプラン)
不正アクセス等の有無を
判断するための調査依頼費用
原因調査費用(フォレンジック費用)、
コンサルティング費用等
原因調査費用(フォレンジック費用)、
コンサルティング費用等
不正アクセス等の
おそれの発見 (=情報漏えいのおそれ)不正アクセス等の発見
1
2
3
サイバーリスク補償プラン
(プレミアムプラン)
サイバーリスク補償プラン
(プレミアムプラン)
(オプション) オプション
4
5
情報システム
復旧費用担保
特約条項
追加被保険者
特約条項 求償権不行使特約条項
上記損害の合計額
13,800万円
①損害賠償金、争訟費用
損害賠償金…
36,000
円×
3,000
人=
10,800
万円
争
訟
費
用…
800
万円
損 害 額
事故例
下記の例は「東京海上日動」が作成した架空の事故例であり、過去に実際に発生したものではありません。
②各種費用
見舞品費用…
1,500
万円 謝罪広告費用…
400
万円
お詫び状作成・郵送費…
100
円×
3
万人=
300
万円
【賠償責任部分】
(個人情報漏えい特別約款)
個 人 顧 客 情 報 のデータベ ース化を外 部 業 者A社に委 託したところ、A社 の 従 業 員が個 人 情 報をフロッピーディスクにコピーして社 外に持 ち 出し、名 簿
業 者に横 流しした 。覚 えの 無 いダイレクトメー ルを 受 け 取った 顧 客 からの 問 合 せにより、漏 えい が 判 明した 。公 的 機 関に届 出 および 新 聞・H P上 で 謝 罪
広 告を行うとともに、顧 客 全 員(3万 人 )に見 舞 品を添 えて お 詫 び 状を送 付 する等 の 対 応をとったが 、個 人 情 報を漏 えいされた 顧 客 の 一 部(3 , 0 0 0人 )
が、プライバシー の 侵 害を理 由に損 害 賠 償 請 求 訴 訟を提 起した。そ の 結 果 、1名 あたり36,000円 の 損 害 賠 償 金を支 払うことを命じられた。
個人情報の漏えいまたはそのおそれに起因して、保険期間中に被保険者
(注)
が損害賠償請求を提起され、法律上の損害
賠償責任を負担することによって被る賠償損害(損害賠償金や弁護士費用等の支払)や、被保険者
(注)
が事故対応期間内に
生じた個人情報漏えい対応費用を負担することによって被る費用損害に対して保険金をお支払い致します。
(注)記名被保険者である個人情報を取り扱う事業者およびその役員または使用人(記名被保険者の業務に関する場合に限ります。)
個人情報漏えい事故の業種別件数割合 個人情報漏えい原因の件数割合 漏えい経路(媒体)比率【件数】
2016
年度情報セキュリティインシデントに関する調査報告書
NPO
日本ネットワークセキュリティ協会より
賠償請求
②各種対応費用の支払
データの持出し
誤操作
メールの誤送信
内外部からの
不正アクセス
ウィルス、ワーム
システム設定・
接続設定の誤り
個人情報の漏えいまたはそのおそれの発生
東京海上日動
①賠償金支払
①、②につき
個人情報漏えい保険で
損害を補償!
被害者
プライバシー侵害・名誉き損等
被保険者
紙媒体
220件
47.0%
USB等可搬記録媒体
45件
3.6%
電子メール
65件
13.9%
インターネット
108件
23.1%
PC本体
20件
4.3%
携帯電話スマートフォン
4件
0.9%
不明
1件
0.2%
その他
5件
1.1%
盗難
25件
5.3%
内部犯罪・内部不正行為
4件
0.9%
不正アクセス
68件
14.5%
不正な情報持ち出し
32件
6.8%
目的外使用
2件
0.4%
バグ・セキュリティホール
8件
1.7%
設定ミス
22件
4.7%
ワーム・ウイルス
5件
1.1%
その他
9件
1.9%
管理ミス
159件
34.0%
誤操作
73件
15.6%
紛失、置忘れ
61件
13.0%
公務
(他に分類されるものを除く)
68件
14.5%
金融業、保険業
105件
22.4%
教育、学習支援業
107件
22.9%
医療、福祉
25件
5.3%
情報通信業
38件 8.1%
運輸業、郵便業
9件 1.9%
卸売業、小売業
32件 6.8%
製造業
20件
4.3%
学術研究、専門・技術サービス業
8件 1.7%
複合サービス事業
3件 0.6%
不動産業、物品賃貸業
5件 1.1%
建設業
3件 0.6%
生活関連サービス業、娯楽業
8件 1.7%
サービス業
(他に分類されないもの)
16件 3.4% 宿泊業、飲食サービス業
3件 0.6%
電気・ガス・熱供給・水道業
18件
3.8%
〔ベーシックプラン〕 個人情報漏えい補償プランの概要
ベーシックプラン 個人情報漏えい補償プランとは
■
情報漏えい事故について
個人情報の漏えいまたはそのおそれについて、被保険者が
法律上の損害賠償責任を負担することによって被る損害
ただし、漏えいまたはそのおそれに起因する損害賠償請求が保険期間中にな
された場合に限ります。
①法律上の損害賠償金 ②争訟費用 ③損害防止軽減費用
④緊急措置費用 ⑤協力費用
【個人情報漏えい対応費用部分】
(個人情報漏えい対応費用担保特約条項)
個人情報の漏えいまたはそのおそれに起因して、被保険者が
事故対応期間内に生じた個人情報漏えい対応費用を負担する
ことによって被る損害
ただし、被保険者が個人情報の漏えいまたはそのおそれを保険期間中に発見し、
そのことが被保険者の公的機関に対する文書による届出もしくは報告等、また
は新聞・テレビ等の媒体による発表や報道により客観的に明らかになった場合に
限ります。
①謝罪会見・謝罪広告費用 ②事故対応・解決費用 ③被害者へ
の見舞金・見舞品購入費用 ④コンサルティング費用・弁護士報酬
(4)マルウェア感染
31.0
%
サイバー攻撃
標的型
メール攻撃
34.1
%
サイバー攻撃
サイバー攻撃は、手口が巧妙化しており、攻撃件数も今後さらに増加することが懸念されています。
強固なセキュリティを構築しても、サイバーリスクを完全に排除することは困難です。
PC
や
USB
メモリの盗難・紛失、またはメールを関係の無
い社外の人に誤って送信する等、組織内部の人間の過
失により発生する事故です。
複数箇所から同時に大量の通信を発生させ、インター
ネットサイト等を利用できなくする手法です。
組織のウェブサイトに外部から侵入し、ウェブサイトの
内容を書き換えてしまう攻撃です。
PC
内のファイルを暗号化したり、PC
をロックしたりする
ことで、業務継続を困難にし、元に戻すことと引き換え
に「身代金」(※)
を要求するマルウェアです。
主にマルウェア付きの電子メールを用いて特定の組
織や個人を狙う攻撃です。
組織内部の人間が、個人情報や営業機密を社外に不正
に持ち出す等の行為です。
標的型
メール攻撃
ランサム
ウェア
ウェブサイト
改ざん
DDoS
攻撃
盗難・紛失/
メール誤送信
内部不正
外
部
内
部
P C
ケーションアプリ
ワークネット
情報資産
近年、企業の情報セキュリティに関する事故は『ヒューマンエラー(内部原因)』から、
『サイバー攻撃』による
ものが台頭し、より対策が難しくなってきています。
出典)
NRI
セキュアテクノロジーズ「企業における情報セキュリティ実態調査
2017
」
電子メールなどの
誤送信
35.6
%
1
位
ヒューマンエラー
2
位
情報機器などの
紛失・置き忘れ
28.9
%
ヒューマンエラー
3
位
4
位
5
位
ランサムウェアによる
金銭等の要求
32.5
%
サイバー攻撃
過去
1
年間で発生した情報セキュリティに関する事件・事故はありますか
Q.
〔プレミアムプラン〕 サイバーリスク補償プラン①(
IT
ユーザー行為の補償)の概要
■
サイバーリスクの脅威
■
情報セキュリティに関する事故の動向
もし、サイバー攻撃による事故が起こったら…
不正アクセス等への初動対応および事故対応には、多額のコストが発生します。
■
事故対応プロセス(例)
求
め
ら
れ
る
対応
想定費用
業種・規模:製造業、社員数約
1,000
名、売上高約
300
億円
事故・被害:標的型メール攻撃により、社内
PC10
台がマルウェアに感染。社内機密および顧客の個人情報約
60,000
件が流出
経 緯:セキュリティ運用管理会社に情報流出の可能性を指摘され発覚。その後本格調査に乗り出し、事故・被害
の全容を把握
ケーススタディ
(架空)
●外部調査依頼費用:早期段階での十分な調査による被害の拡散防止
●データ等復旧費用・情報システム復旧費用:事業活動の早期再開
●再発防止費用:情報セキュリティ体制の整備による将来的な被害の防止
期待効果
被保険者の範囲
サイバーリスク補償プランは、事業活動を取り巻くサイバーリスクを包括的に補償します。
下記のような事故発生から収束までの一般的な対応フローにおいて、各種費用をトータルで補償します。
■
サイバーリスク補償プランとは
再発防止計画
事態収拾
対 応
初動対応
検 知
●再発防止のための各種施策
(技術対策、教育、ルール作り
等)の計画策定
●検知内容の精査 ●影響の調査
●影響箇所・範囲の特定等
●ログ収集
●証拠保全
●原因・被害調査
●バックアップ復元等
●見舞金
●広報対応
●弁護士費用等
※上記金額はあくまで想定です。個社の状況、事故の内容、対応業者等により金額は変わります。
※「身代金」を支出したことにより被る損害は補償対象外です。
約
500
万円
約
4,000
万円
約
3,000
万円
約
500
万円
(社内で対処)
■
事故発生時の一般的な対応フローおよびサイバーリスク補償プランの効果
外部機関より不正アクセス等の可能性の通
報を受けた場合に、『不正アクセス等のおそ
れ』とみなし、不正アクセス等の有無を判断
するために
外部へ調査を依頼する費用を補
償(※1)します。
(※1)調査の結果、不正アクセス等が無かった
と判明した場合でも、費用の90%(※2)
を補
償します。
『不正アクセスを受けている
可能性があります』
事態収拾
再発防止策の実施
データ等復旧費用
+ 情報システム復旧費用
(オプション)
各種対応
③
不正
アクセス等
確定
②
不正
アクセス等
のおそれ
④
情報漏えい
または
そのおそれ
④
データ等の
機能停止等
サイバーリスク保険
による費用補償
外部調査依頼
①
外部通報
⑤
収束
外部機関
( )
公的機関・ネットワーク
セキュリティ運用管理会社
ご契約者様
サイバーリスク保険
による費用補償
サイバーリスク保険
による費用補償
サイバーリスク保険
による費用補償
①損害賠償責任に関する補償
自社ネットワークの所有・使用・管理等に起因して発生した他人の事業
の休止または阻害や情報漏えい等について、被保険者が法律上の損
害賠償責任を負担することによって被る損害を補償します。
②サイバーセキュリティ事故対応費用に関する補償
情報漏えい、不正アクセス等に起因して一定期間内に生じた不正アク
セス等対応費用・再発防止費用等や訴訟対応費用を被保険者が負担す
ることによって被る損害を補償します。
①記名被保険者 ②記名被保険者の役員または使用人(①の業務に関する場合に限ります。)
(※2)縮小支払割合90%が適用されます。
(5)マルウェア感染
31.0
%
サイバー攻撃
標的型
メール攻撃
34.1
%
サイバー攻撃
サイバー攻撃は、手口が巧妙化しており、攻撃件数も今後さらに増加することが懸念されています。
強固なセキュリティを構築しても、サイバーリスクを完全に排除することは困難です。
PC
や
USB
メモリの盗難・紛失、またはメールを関係の無
い社外の人に誤って送信する等、組織内部の人間の過
失により発生する事故です。
複数箇所から同時に大量の通信を発生させ、インター
ネットサイト等を利用できなくする手法です。
組織のウェブサイトに外部から侵入し、ウェブサイトの
内容を書き換えてしまう攻撃です。
PC
内のファイルを暗号化したり、PC
をロックしたりする
ことで、業務継続を困難にし、元に戻すことと引き換え
に「身代金」(※)
を要求するマルウェアです。
主にマルウェア付きの電子メールを用いて特定の組
織や個人を狙う攻撃です。
組織内部の人間が、個人情報や営業機密を社外に不正
に持ち出す等の行為です。
標的型
メール攻撃
ランサム
ウェア
ウェブサイト
改ざん
DDoS
攻撃
盗難・紛失/
メール誤送信
内部不正
外
部
内
部
P C
ケーションアプリ
ワークネット
情報資産
近年、企業の情報セキュリティに関する事故は『ヒューマンエラー(内部原因)』から、
『サイバー攻撃』による
ものが台頭し、より対策が難しくなってきています。
出典)
NRI
セキュアテクノロジーズ「企業における情報セキュリティ実態調査
2017
」
電子メールなどの
誤送信
35.6
%
1
位
ヒューマンエラー
2
位
情報機器などの
紛失・置き忘れ
28.9
%
ヒューマンエラー
3
位
4
位
5
位
ランサムウェアによる
金銭等の要求
32.5
%
サイバー攻撃
過去
1
年間で発生した情報セキュリティに関する事件・事故はありますか
Q.
〔プレミアムプラン〕 サイバーリスク補償プラン①(
IT
ユーザー行為の補償)の概要
■
サイバーリスクの脅威
■
情報セキュリティに関する事故の動向
もし、サイバー攻撃による事故が起こったら…
不正アクセス等への初動対応および事故対応には、多額のコストが発生します。
■
事故対応プロセス(例)
求
め
ら
れ
る
対応
想定費用
業種・規模:製造業、社員数約
1,000
名、売上高約
300
億円
事故・被害:標的型メール攻撃により、社内
PC10
台がマルウェアに感染。社内機密および顧客の個人情報約
60,000
件が流出
経 緯:セキュリティ運用管理会社に情報流出の可能性を指摘され発覚。その後本格調査に乗り出し、事故・被害
の全容を把握
ケーススタディ
(架空)
●外部調査依頼費用:早期段階での十分な調査による被害の拡散防止
●データ等復旧費用・情報システム復旧費用:事業活動の早期再開
●再発防止費用:情報セキュリティ体制の整備による将来的な被害の防止
期待効果
被保険者の範囲
サイバーリスク補償プランは、事業活動を取り巻くサイバーリスクを包括的に補償します。
下記のような事故発生から収束までの一般的な対応フローにおいて、各種費用をトータルで補償します。
■
サイバーリスク補償プランとは
再発防止計画
事態収拾
対 応
初動対応
検 知
●再発防止のための各種施策
(技術対策、教育、ルール作り
等)の計画策定
●検知内容の精査 ●影響の調査
●影響箇所・範囲の特定等
●ログ収集
●証拠保全
●原因・被害調査
●バックアップ復元等
●見舞金
●広報対応
●弁護士費用等
※上記金額はあくまで想定です。個社の状況、事故の内容、対応業者等により金額は変わります。
※「身代金」を支出したことにより被る損害は補償対象外です。
約
500
万円
約
4,000
万円
約
3,000
万円
約
500
万円
(社内で対処)
■
事故発生時の一般的な対応フローおよびサイバーリスク補償プランの効果
外部機関より不正アクセス等の可能性の通
報を受けた場合に、『不正アクセス等のおそ
れ』とみなし、不正アクセス等の有無を判断
するために
外部へ調査を依頼する費用を補
償(※1)します。
(※1)調査の結果、不正アクセス等が無かった
と判明した場合でも、費用の90%(※2)
を補
償します。
『不正アクセスを受けている
可能性があります』
事態収拾
再発防止策の実施
データ等復旧費用
+ 情報システム復旧費用
(オプション)
各種対応
③
不正
アクセス等
確定
②
不正
アクセス等
のおそれ
④
情報漏えい
または
そのおそれ
④
データ等の
機能停止等
サイバーリスク保険
による費用補償
外部調査依頼
①
外部通報
⑤
収束
外部機関
( )
公的機関・ネットワーク
セキュリティ運用管理会社
ご契約者様
サイバーリスク保険
による費用補償
サイバーリスク保険
による費用補償
サイバーリスク保険
による費用補償
①損害賠償責任に関する補償
自社ネットワークの所有・使用・管理等に起因して発生した他人の事業
の休止または阻害や情報漏えい等について、被保険者が法律上の損
害賠償責任を負担することによって被る損害を補償します。
②サイバーセキュリティ事故対応費用に関する補償
情報漏えい、不正アクセス等に起因して一定期間内に生じた不正アク
セス等対応費用・再発防止費用等や訴訟対応費用を被保険者が負担す
ることによって被る損害を補償します。
①記名被保険者 ②記名被保険者の役員または使用人(①の業務に関する場合に限ります。)
(※2)縮小支払割合90%が適用されます。
(6)急成長する
IT
業界において、
IT
事業者は多くのリスクを抱えています。
サイバーリスク補償プランでは、
IT
事業者としての業務遂行リスクと
IT
ユーザーとしての自社のサイバー
リスクを包括的に補償します。
複雑化するシステム
他社との競争激化
短納期・低コスト
システム開発紛争の増加
▼
外部要因
IT
事業者リスク
の高まり
品質管理
人材・技術者不足
多重下請け
グローバル対応
▼
内部要因
顧客から高額の損害賠償請求を受ける可能性が高まっています。
※上記例は、「東京海上日動」が作成した架空の事故例であり、過去に発生したものではありません。
※事故時の対応についての詳細は、保険約款をご参照ください。
X
社が
A
社の物流システムを新規開発。システム内の
ソフトウェアの瑕疵により、約3か月間にわたり
A
社
の配送業務に混乱をきたし、損害賠償請求を受けた。
X
社はソフトウェア開発時に問題があったことを認
め、
A
社の損害相当分(再発送業務に要した人件費・
交通費・発送運賃・外部倉庫料金・未着、延着によ
る納入資材のキャンセル料・物流経費増分・営業利
益損失等)が請求された。
Y
社が取引先
B
社のデータ保守管理業務中、誤って
保管中の「販売実績データ」4年分を消去してしまい、
取引先
B
社から損害賠償請求を受けた。
Y
社の保守管理ミスにより当該データを消失したこと
は明白で、原状復旧費用相当の賠償責任は免れられ
ず、消失したデータの復旧費用相当分が請求された。
約
6,000
万円
約
4,000
万円
システム内のソフトウェアの
瑕疵が原因で、
A
社の配送業
務が約3か月間にわたり混乱
Y
社の保守管理ミスで
B
社の
データ消失
事故事例
シ
ス
テ
ム
開
発
デ
ー
タ
保
守
・
管
理
システム開発
X
社
データ管理
Y
社
取引先
A
社
B
社のデータ
B
社のデータ保守・
管理を
Y
社が受託
A
社の物流システム
を開発・納品
システム開発やデータ保守・管理をする
IT
事業者の方へ
〔プレミアムプラン〕 サイバーリスク補償プラン②(IT業務の補償)の概要
■
IT
事業者のリスクについて
■
IT
事業者の業務遂行リスクおよびサイバーリスク補償プランの効果について
サイバーリスク
補償プランによる
費用補償
サイバーリスク
補償プランによる
費用補償
毎月
25
日
※
までの受付分は、受付日翌月
1
日から
2020
年
2
月
1
日までの補償期間となります。
※休日等の場合は、翌営業日。
払込方法
口座振替契約方式となります。
口座振替方式
:
一括払い
保険料引落し日
:
補償開始月の翌月
27
日(金融機関の休業日である場合は、翌営業日)
中途加入は
毎月受付中!
IT
業務 例
ア. ソフトウェア開発またはプログラ
ム作成業務
●
受託開発ソフトウェア業
●プログラム作成業
●情報システム開発
●
組込みソフトウェア業
●パッケージソフトウェア業
●システムインテグレーションサービス
●
ソフトウェア・プログラムの更新作業
ウ. 情報提供サービス業務 ●
データベースサービス
エ. ポータルサイト・サーバ運営業務 ●インターネットショッピングサイト運営
●インターネットオークションサイト運営
●ウェブ情報検索サービス
●サーバホスティングサービス
●サーバハウジングサービス
オ. アプリケーション・サービス・コンテ
ンツ・プロバイダ業務
● ASP業務など他の企業からソフトウェアを購入し、オフィス・アプリケーションを複数の利
用者にネットワーク経由で提供し、利用料を徴収するサービス業務
●ウェブコンテンツ配信
カ. インターネット利用サポート業務 ●
セキュリティサービス
キ. 電気通信事業法が規定する電気
通信業務 ̶
ク. その他アからキまでに準ずる業務 ̶
イ. 情報処理サービス業務 ●受託計算サービス
●データエントリー
●マシンタイムサービス
●パンチサービス
●情報処理システム管理運営サービス
● VANサービス
「
IT
業務」とは、日本国内における次の業務すべてをいいます。※原則、一部の
IT
業務に限定した引き受けは行いません。
詳細は、保険代理店にお問い合わせください。
IT
業務条項の対象業務
制度の取り扱い(個人情報漏えい補償プラン・サイバーリスク補償プラン共通)
詳しくは取扱代理店にお問合わせください。
加入資格
東京商工会議所の会員事業所に限ります。
申込締切日
2019
年
1
月
15
日(火)
保険期間
2019
2020
年
年
2
2
月
月
1
1
日午後
日午後
4
4
時(
時~
1
年間)
ご加入にあたっては「加入依頼書」、「口座振替用紙」および「売上高確認
資料」に必要事項をご記入・ご捺印の上、取扱代理店にご提出ください。
※更新契約については「口座振替用紙」の提出が不要です。
■
「サイバーリスク総合支援サービス」をご利用いただけます。
ご利用対象
サービス 概要 提供主体
サイバーリスク保険
ご契約者様限定
どなた様でも
ご利用いただけます
6.
定性リスク診断サービス お客様のセキュリティ管理体制を簡易診断し、定性的にリスク診断
を実施いたします。
一定のシナリオに基づいたサイバーリスクに関する想定最大損害
額(PML)を簡易算出し、定量的にリスク診断を実施いたします。
東京海上日動
サイバーリスク
情報センター
簡易リスク
診断サービス
(無料)
1.
情報提供サービス サイバーリスクニュースやサイバー関連の情報誌といった情報のご提供、およびサイバーリスクセミナーを優先的にご案内いたしま
す。
2.
ツール提供サービス 従業員の皆様を対象としたサイバーリスクに関する教育支援ツー
ルをご提供いたします。
米国サイエンス社のノウハウを活用し、企業がさらされているサイ
バーリスクの要因を様々な角度で分析し、業界内でのベンチマー
クや定点観測としてご利用いただけるサイバーリスクベンチマー
クレポートをご提供いたします。
情報・ツール
提供サービス
(無料)
ベンチマーク
レポート
サービス
(無料)
5.
サイバーエキスパートアシスタンス 高度な専門性を要する重大トラブルに対して、専門的なアドバイス
や専門事業者紹介を行います。
4.
サイバークイックアシスタンス ウィルス感染やネット相続不具合等のトラブルに対して、初期アドバイスやリモートサポート(ウィルス駆除やセキュリティ診断)等を
行います。
緊急時
ホットライン
サービス
(無料)
東京海上日動
火災保険㈱
東京海上日動
サイバーリスク
情報センター
3.
ベンチマークレポートサービス
7.
定量リスク診断サービス
8.
平時の紹介サービス 事故発生前のセキュリティコンサルティングや脆弱性診断、セキュリティログ監視等、お客様のご希望に応じた専門事業者をご紹介
いたします。
事故発生時の駆けつけ支援、調査・応急対応支援、コールセンター
設置支援等、お客様のご希望に応じた専門事業者をご紹介いたし
ます。
9.
有事の紹介サービス
専門事業者
紹介サービス
(7)急成長する
IT
業界において、
IT
事業者は多くのリスクを抱えています。
サイバーリスク補償プランでは、
IT
事業者としての業務遂行リスクと
IT
ユーザーとしての自社のサイバー
リスクを包括的に補償します。
複雑化するシステム
他社との競争激化
短納期・低コスト
システム開発紛争の増加
▼
外部要因
IT
事業者リスク
の高まり
品質管理
人材・技術者不足
多重下請け
グローバル対応
▼
内部要因
顧客から高額の損害賠償請求を受ける可能性が高まっています。
※上記例は、「東京海上日動」が作成した架空の事故例であり、過去に発生したものではありません。
※事故時の対応についての詳細は、保険約款をご参照ください。
X
社が
A
社の物流システムを新規開発。システム内の
ソフトウェアの瑕疵により、約3か月間にわたり
A
社
の配送業務に混乱をきたし、損害賠償請求を受けた。
X
社はソフトウェア開発時に問題があったことを認
め、
A
社の損害相当分(再発送業務に要した人件費・
交通費・発送運賃・外部倉庫料金・未着、延着によ
る納入資材のキャンセル料・物流経費増分・営業利
益損失等)が請求された。
Y
社が取引先
B
社のデータ保守管理業務中、誤って
保管中の「販売実績データ」4年分を消去してしまい、
取引先
B
社から損害賠償請求を受けた。
Y
社の保守管理ミスにより当該データを消失したこと
は明白で、原状復旧費用相当の賠償責任は免れられ
ず、消失したデータの復旧費用相当分が請求された。
約
6,000
万円
約
4,000
万円
システム内のソフトウェアの
瑕疵が原因で、
A
社の配送業
務が約3か月間にわたり混乱
Y
社の保守管理ミスで
B
社の
データ消失
事故事例
シ
ス
テ
ム
開
発
デ
ー
タ
保
守
・
管
理
システム開発
X
社
データ管理
Y
社
取引先
A
社
B
社のデータ
B
社のデータ保守・
管理を
Y
社が受託
A
社の物流システム
を開発・納品
システム開発やデータ保守・管理をする
IT
事業者の方へ
〔プレミアムプラン〕 サイバーリスク補償プラン②(IT業務の補償)の概要
■
IT
事業者のリスクについて
■
IT
事業者の業務遂行リスクおよびサイバーリスク補償プランの効果について
サイバーリスク
補償プランによる
費用補償
サイバーリスク
補償プランによる
費用補償
毎月
25
日
※
までの受付分は、受付日翌月
1
日から
2020
年
2
月
1
日までの補償期間となります。
※休日等の場合は、翌営業日。
払込方法
口座振替契約方式となります。
口座振替方式
:
一括払い
保険料引落し日
:
補償開始月の翌月
27
日(金融機関の休業日である場合は、翌営業日)
中途加入は
毎月受付中!
IT
業務 例
ア. ソフトウェア開発またはプログラ
ム作成業務
●
受託開発ソフトウェア業
●プログラム作成業
●情報システム開発
●
組込みソフトウェア業
●パッケージソフトウェア業
●システムインテグレーションサービス
●
ソフトウェア・プログラムの更新作業
ウ. 情報提供サービス業務 ●
データベースサービス
エ. ポータルサイト・サーバ運営業務 ●インターネットショッピングサイト運営
●インターネットオークションサイト運営
●ウェブ情報検索サービス
●サーバホスティングサービス
●サーバハウジングサービス
オ. アプリケーション・サービス・コンテ
ンツ・プロバイダ業務
● ASP業務など他の企業からソフトウェアを購入し、オフィス・アプリケーションを複数の利
用者にネットワーク経由で提供し、利用料を徴収するサービス業務
●ウェブコンテンツ配信
カ. インターネット利用サポート業務 ●
セキュリティサービス
キ. 電気通信事業法が規定する電気
通信業務 ̶
ク. その他アからキまでに準ずる業務 ̶
イ. 情報処理サービス業務 ●受託計算サービス
●データエントリー
●マシンタイムサービス
●パンチサービス
●情報処理システム管理運営サービス
● VANサービス
「
IT
業務」とは、日本国内における次の業務すべてをいいます。※原則、一部の
IT
業務に限定した引き受けは行いません。
詳細は、保険代理店にお問い合わせください。
IT
業務条項の対象業務
制度の取り扱い(個人情報漏えい補償プラン・サイバーリスク補償プラン共通)
詳しくは取扱代理店にお問合わせください。
加入資格
東京商工会議所の会員事業所に限ります。
申込締切日
2019
年
1
月
15
日(火)
保険期間
2019
2020
年
年
2
2
月
月
1
1
日午後
日午後
4
4
時~
時(
1
年間)
ご加入にあたっては「加入依頼書」、「口座振替用紙」および「売上高確認
資料」に必要事項をご記入・ご捺印の上、取扱代理店にご提出ください。
※更新契約については「口座振替用紙」の提出が不要です。
■
「サイバーリスク総合支援サービス」をご利用いただけます。
ご利用対象
サービス 概要 提供主体
サイバーリスク保険
ご契約者様限定
どなた様でも
ご利用いただけます
6.
定性リスク診断サービス を実施いたします。お客様のセキュリティ管理体制を簡易診断し、定性的にリスク診断
一定のシナリオに基づいたサイバーリスクに関する想定最大損害
額(PML)を簡易算出し、定量的にリスク診断を実施いたします。
東京海上日動
サイバーリスク
情報センター
簡易リスク
診断サービス
(無料)
1.
情報提供サービス ご提供、およびサイバーリスクセミナーを優先的にご案内いたしまサイバーリスクニュースやサイバー関連の情報誌といった情報の
す。
2.
ツール提供サービス 従業員の皆様を対象としたサイバーリスクに関する教育支援ツー
ルをご提供いたします。
米国サイエンス社のノウハウを活用し、企業がさらされているサイ
バーリスクの要因を様々な角度で分析し、業界内でのベンチマー
クや定点観測としてご利用いただけるサイバーリスクベンチマー
クレポートをご提供いたします。
情報・ツール
提供サービス
(無料)
ベンチマーク
レポート
サービス
(無料)
5.
サイバーエキスパートアシスタンス 高度な専門性を要する重大トラブルに対して、専門的なアドバイス
や専門事業者紹介を行います。
4.
サイバークイックアシスタンス ウィルス感染やネット相続不具合等のトラブルに対して、初期アドバイスやリモートサポート(ウィルス駆除やセキュリティ診断)等を
行います。
緊急時
ホットライン
サービス
(無料)
東京海上日動
火災保険㈱
東京海上日動
サイバーリスク
情報センター
3.
ベンチマークレポートサービス
7.
定量リスク診断サービス
8.
平時の紹介サービス 事故発生前のセキュリティコンサルティングや脆弱性診断、セキュリティログ監視等、お客様のご希望に応じた専門事業者をご紹介
いたします。
事故発生時の駆けつけ支援、調査・応急対応支援、コールセンター
設置支援等、お客様のご希望に応じた専門事業者をご紹介いたし
ます。
9.
有事の紹介サービス
専門事業者
紹介サービス