■アブストラクト
デジタルイノベーションの進展で,社会環境,産業構造は大きな変化を遂 げようとしている。モバイル,クラウド,ビッグデータ,AI といった IT の新潮流を受け,あらゆるものにセンサー/チップが搭載され,多様な分野 であらゆるモノがネットワークで繋がる IoT(Internet of Things)が大きな 広がりを見せている。一方で,ネットワークで繋がるということは,同時に サイバーリスクが増大することを意味している。
加えて,サイバーリスクは地政学リスクの高まりによっても増加するが,
近年,中東,アジア等,地政学リスクは高まっている。
現状,日本国内におけるサイバーセキュリティに対する認識は,米国等と 比較して,必ずしも高くないが,個人情報の保護規制が国際的に広がってい ることから,国内でも個人データ保護に対する意識は今後高まっていくと考 えられる。
こうした状況の中,今後増大していくサイバーリスクをどのように取り扱 っていくかは,損害保険会社として,重要な課題となる。
■キーワード
エマージング・リスク,サイバーリスク保険,情報セキュリティ
平成29年度大会 日本保険学会・日本リスク研究学会連携特別セッション
石 原 康 史
*平成29年10月29日の日本保険学会大会(滋賀大学)報告による。
/ 平成30年⚖月30日原稿受領。
損害保険におけるエマージング・リスク への取組みの一例
サイバーリスクについて
⚑.サイバーリスクの現状
情報セキュリティのインシデントは,世界各国で発生しており,その規模 や影響範囲は年々拡大の一途をたどっている。テクノロジーとデジタル化の 進展を始めとする環境の変化の中で,ネットワークは拡大を続け,それに伴 いサイバーリスクも増大していく。
PwC 社によれば,世界全体でのサイバーリスクを補償するサイバーリス ク保険の保険料は2014年に25億米ドルと推定されているが,2020年には少な くとも75億米ドルまでの成長が見込まれるとしている1)。このように大幅な 拡大が想定され,サイバーリスク保険は,損害保険会社にとって,大きな商 機となることが期待されている。
一方で,サイバーリスクは,損害保険会社にとって,従来引き受けてきた リスクとは全く異なる,⽛エマージング・リスク⽜である点が特筆される。
まず,サイバー攻撃の被害として表に出ているのは,氷山の一角であり,
大半は水面下に潜んでいる。企業はサイバー攻撃を受けても気づいていなか ったり,あるいは被害が発生しても公表したがらなかったり,という状況が ある。また,サイバーリスクの被害は,個人情報の漏えいによる賠償を始め として,システム等への物理的な損害の復旧費用,システム停止による事業 中断,企業の評判低下による損失など広範囲に及ぶ。こうした攻撃の規模や その影響について,日本国内には限られたデータしか存在しない。加えて,
サイバー攻撃は日々進化を続けており,その脅威は,急速に変化を続けてい る。その拡散の速度も非常に早い。こうしたことから強固なセキュリティを 構築しても,サイバーリスクを完全に排除することは不可能といわざるを得 ない。
更に,サイバーテロであったり,一般に使用されているソフトウェアの脆 弱性を悪用された場合であったりと,同種のインシデントによってサイバー 関連の損失が同時多発的に発生する可能性もある。
1) PwC(2015)10頁参照。
このように,サイバーリスクは日々刻々と情勢が変化する,しかも巨大な リスクであり,保険会社にとっても,顧客にとってもサイバーリスクへの対 応は未知のリスクとの闘いであるといえる。
⚒.サイバーリスクへの取組み
日本国内では,まず個人情報漏えいリスクの顕在化が,損害保険会社のサ イバーリスクへの取組みの最初の契機となった。個人情報の保護に関する法 律(個人情報保護法)の施行などを背景に,高まる個人情報漏えいリスクに 備えるための商品として,東京海上日動火災保険(以下,⽛当社⽜という。)
は2004年⚔月から⽛個人情報漏えい保険⽜の販売を開始した。個人情報漏え いによる事業者の損害賠償費用,謝罪広告の掲載・謝罪会見を開くための費 用,お詫び状を作成・送付するための費用,見舞金・見舞品を購入するため の費用など,事後対応に必要な費用を幅広く補償した。ただ当時は,サイバ ー攻撃といっても,例えば2003年でいえば,Windows の脆弱性を利用して 侵入する不正プログラムで⽛MSBlast⽜が感染被害を起こし話題となったが,
多くの個人ユーザーに影響を及ぼしたものの,深刻な情報漏えいにまで至っ たケースは確認されていない。当時は不正プログラムによる被害よりは,
PC の盗難・紛失,誤操作,あるいは従業員の金銭目的での顧客名簿の売却 など,過失・内部不正といったヒューマンエラー(内部原因)による情報漏 えい事故がインシデントの中心となっていた。
こうした状況に大きな変化を及ぼすこととなったのが,標的型攻撃であり,
中でもメールを用いた標的型攻撃メールである。標的型攻撃メールは,マル ウェア2)付きの電子メールを用いて特定の組織や個人を狙う攻撃である。標 2) 日本ネットワークセキュリティ協会⽛情報セキュリティの基礎⽜の中で,
⽛マルウェア(Malware)とは,不正かつ有害な動作を行う意図で作成された 悪意のあるソフトウェアや悪質なコードの総称⽜,マルウェアとして⽛ウイル ス,ワーム,トロイの木馬,スパイウェア,キーロガー,バックドア,ボッ ト⽜があると説明されている。http : //www.jnsa.org/ikusei/03/08-01.html(最 終確認2018.6.24)
的型攻撃は,機密情報(技術情報,特許情報,研究開発情報,顧客情報,経 営戦略等)の窃取を行うが,海外では企業内システムの破壊3)や工場・発電 所の停止を狙った事例4)も報告されている。国内では2011年頃から標的型攻 撃メールの被害が増加するが,このようにサイバー攻撃の対象が,個人を標 的とした愉快犯・単独犯的なものから,企業や重要インフラ・国家を標的と した経済犯・組織犯的なものに移行するようになり,被害がより深刻なもの となっていった。
情報窃取を目的としたサイバー攻撃の大半がこの標的型攻撃メールであり,
被害が拡大している。2015年には,日本年金機構の流出情報件数が125万件 にも及ぶ情報漏えい被害が発生しているが,標的型攻撃メールによる侵入は 自分では気づきにくいというところに特徴がある。また,こうして窃取され る情報量は膨大なものとなり得る。長期にわたって情報の窃取が行われ,例 えばある組織が単一の攻撃対象から6.5テラバイトのデータを窃取したとさ れる事例5)も生じている。
標的型攻撃メールはメールに添付されているファイル等の開封によって不 正アクセスを生じさせることとなるが,国内において,標的型メール訓練で は,2015 年度の結果で約⚘人に⚑人が開封しており,特に役員の開封率は 一般の従業員の約1.6倍という結果が出ている6)。このように,深刻な被害 をもたらすにもかかわらず,一般的にサイバーセキュリティに対する意識が 高くない,とりわけ経営層においてその傾向が顕著である,ということも被 害を防げない要因にあげられる。
不正アクセスがあった場合,検知内容の精査,影響の調査,影響箇所・範 囲の特定を行い,その上で,ログ収集,証拠保全,原因・被害調査等の対応 を行う必要がある。こうした対応をフォレンジック調査というが,これは専
3) Finkle(2012).
4) BBC(2014).
5) Patrick Lambert (2013).
6) 西田助宏(2016)⚖頁参照。
門家が行う必要があり多額の費用を要することとなる。不正アクセスがあっ た場合に企業が負担する費用は企業個社の状況,事故の内容,対応業者等に より金額が変わるが,例えば,⽛製造業で社員数約1ó000名,売上高約300億 円の企業が,標的型攻撃メールにより,社内 PC10台がマルウェアに感染し,
社内機密および顧客の個人情報約60ó000件が流出。セキュリティ運用管理会 社に情報流出の可能性を指摘され発覚し,その後本格調査に乗り出し,事 故・被害の全容を把握した⽜といったケースを想定すると,当社の概算見積 もりでは,⽛影響の調査,影響箇所・範囲の特定といった初動対応に約500万 円,ログ収集,証拠保全,原因・被害調査,バックアップ復元等の対応に 約3ó000万円,見舞金,広報対応,弁護士費用といった事態収拾の費用に約 4ó000万円,再発防止のための各種,施策(技術対策,教育,ルール作り等)
の計画策定のために約500万円かかる⽜というように多額なものとなる。
企業としては,こうした被害を少しでも抑えるためには,不正アクセスが あった段階で,ただちに対策を講じる必要があるが,個人情報漏えい保険で は,実際に個人の情報漏えいが発生するか,または漏えいのおそれが対外的 に公表された場合に補償対象となることから,不正アクセスが発生した時点 での費用の補償を求める声が高まってくる。また,サイバー攻撃も多種多様 であり,標的型攻撃以外にも,ランサムウェア(PC 内のファイルを暗号化 したり,PC をロックしたりすることで,業務継続を困難にし,元に戻すこ とと引き換えに⽛身代金⽜を要求するマルウェア),ウェブサイト改ざん
(組織のウェブサイトに外部から侵入し,内容を書き換える攻撃),DDoS 攻 撃(複数箇所から同時に大量の通信を発生させ,インターネットサイトなど を利用できなくする手法。単一箇所からの場合は DoS 攻撃)等,個人情報 の漏えいだけでない被害を与える事例が増えてきた。こうしたことから個人 情報漏えいだけでなく,企業のネットワーク中断による被害の補償など,サ イバーリスク全般を補償する保険を求める声が高まることとなった。
これらのニーズを受けて当社では,2014年⚔月より,サイバーリスクを総 合的に補償するサイバーリスク保険の商品開発に着手することとした。
⚓.サイバーリスク保険の開発
前述の通り,開発時点で,国内においては,事故データがほとんどなく,
リスクシナリオやリスク量の把握が困難であり,適正な保険料の算出が難し い状況であった。また,国内では事故がほとんど起こっていないことから,
企業のニーズが十分に顕在化しておらず,どのような補償やサービスをどれ くらいの保険料で提供すればよいのかを試行錯誤しながら探る必要があった。
このため,サイバーリスクに関するできる限りの研究・情報収集を行った。
当社の海外グループ会社である,フィラデルフィア社(米国)とキルン社
(英国・ロイズ)では,海外マーケットにおいて欧米企業向けにサイバーリ スク保険(英文約款)を先行販売していたことから,サイバー先進国である 米国のサイバーリスクに関するヒアリングを行うなどリスクの把握に努めた 上で,これらのグループ会社の商品・販売実績を参考にした。また,多くの 国内セキュリティ事業者と提携し,サイバーリスクに対応するネットワーク を構築した。最終的には約⚑年後の2015年⚒月に,国内大手損害保険会社で 初めてサイバーリスクを補償する保険の販売を開始した7)。
⚔.サイバーリスク保険の商品改定の実施
サイバーリスクは今後拡大していく一方で,未知の要素が大きく,将来的 な被害規模の予測は困難である。こうしたことから,海外の大手保険会社で サイバーリスク保険を取り扱っていない保険会社はいくつも存在する。そう いう意味で我々は⽛サイバーリスク保険は保険会社としてもリスクに挑戦し ている商品⽜だと考えている。多くの点で,これまで補償してきた従来のリ スクとは異質のリスクを補償しているからである。
一方で,当社がサイバーリスク保険を販売したからこそ見えてきたことも ある。保険契約のプロセスから見えてくる加入企業のサイバーセキュリティ の状況や,事故データの蓄積から見えてくるサイバーリスクの実態等である。
7) 東京海上日動(2015)参照。
こうした中から,サイバーリスク保険に対して販売開始後これまで⚓回に亘 る商品改定を実施している。
大きな改定の一つが,不正アクセスがあったことが確定する前であっても,
警察,IPA(独立行政法人情報処理機構),JPCERT/CC(一般社団法人 JPCERT コーディネーションセンター),SOC(Security Operation Center)
からの通報で⽛不正アクセス等のおそれ⽜が発見された時から外部機関への 不正アクセス等の有無を判断するための調査依頼費用を補償対象としたこと である。サイバー攻撃を受けた場合,一刻も早い初動対応が必要となるが,
改定前は,不正アクセスがあったことが確定しないと保険の補償対象となら なかったため,早期の初動対応が行えないおそれがあった。実際のインシデ ントの例から,一部のランサムウェアや DoS 攻撃を除き,不正アクセスの 影響を企業が即座に判別することが困難であることが分かったことから,こ れに対応する商品改定を2015年10月に実施した。すなわち,不正アクセスを 疑わせる事象はそれこそ無数にあり,企業が全件分析することは事実上不可 能であり,そもそもサイバー攻撃者は攻撃の痕跡を残さないことから,公的 機関やネットワークセキュリティ運用管理会社からおそれがあるとの通報を 受けた場合,外部機関への調査依頼費用を補償対象に加えることとしたもの である。インシデントが発生しているかどうかが確定していない段階で,保 険金を支払うという構成は,保険としては異例といえるが,この改定により,
早期に十分な調査ができ,被害拡散防止が行えることとなった。
2016年⚑月には,リスク管理に関する企業努力の保険料への反映およびセ キュリティ対策の普及・向上の促進を目的として,⽛リスク評価割引⽜を新 設した。この割引制度は,2015年12月に経済産業省が発表した⽛サイバーセ キュリティ経営ガイドライン⽜に準拠した割引項目を使用しており,サイバ ーリスク保険契約に加入する企業から取り付ける独自の質問書に基づいて当 社が情報セキュリティ対策の実施状況について評価し,最大30%の保険料割 引を適用することとした。
更に,2016年後半から⽛Mirai⽜ウイルスがネットワークカメラやホーム
ルーターに感染し,DDoS 攻撃が行われるなどの IoT 機器の脆弱性を悪用し たサイバーインシデントが生じたことから,2017年⚑月には,制御機器や監 視機器といった IoT 機器がサイバーリスク保険で補償されることを明確化 する改定を実施している。
⚕.サイバーリスク保険の補償概要
サイバーリスク保険は,不正アクセス等に起因して発生した各種損害を⚑
つの保険で包括して補償する。保険の構成としては,賠償責任保険普通保険 約款に,情報通信技術特別約款を付帯する形となっている。以下⽛サイバー リスク保険⽜の特徴をあげる。
⑴ 不正アクセス等のサイバー攻撃によるリスクは,①情報漏えい等に関 する賠償リスク,②システムへの侵入経路を調査するフォレンジック等に 関する費用リスク,③データが損壊されたことに関する修復リスク,④ネ ットワークが停止・中断したことによる休業リスクといったような幅広い リスクが想定される。本商品は,これらのリスクを⚑契約で包括的に補償 対象とすることが可能である。
⑵ 企業が不正アクセスやサイバー攻撃を受けたことによって,その対応の ために支出した各種対応費用(原因・被害状況の調査,証拠保全等の危機 管理対応費用)も,支払限度額や補償割合等の一定の条件のもとで補償す る。
⑶ 個人情報漏えい保険等の従来の商品では補償対象外となっていた海外に おける損害賠償請求訴訟に関する賠償金・争訟費用も補償する。
⚖.サイバーリスク保険におけるサービスの提供
サイバーリスク保険により,企業はサイバー攻撃を受けた場合の金銭的な 補償が得られることとなった。しかし,企業がサイバー攻撃に対して,各種 対応を講じる際には,専門的技術を有するセキュリティ専門事業者等のサー ビスを受けることが必要となるが,企業によっては,専門事業者に関する情
報が不十分であり,セキュリティの技術・ソリューションの有効性の判断が エンドユーザーでは困難なため,自社のニーズに合った事業者を探し出すこ と自体が難しいという課題があった。
このような状況を踏まえ,当社ではサイバーリスク保険を通じた有事の補 償の提供だけでなく,平時のリスク軽減から事故発生後の各種対応に至るま で,企業のサイバーリスクに関するリスクマネジメント体制の構築・強化を 幅広くサポートすることを目的として,2015年10月より,⽛サイバーリスク 総合支援サービス⽜の提供を開始した8)。以下にサービスの概要をあげる。
⑴ 情報・ツール提供サービス
サイバーリスクに関する最新情報や教育支援ツール,セミナー等の開催 情報を定期的に無料で提供する。
⑵ 簡易リスク診断サービス
現在のリスク状況を定性的,定量的に簡易評価し,報告書として提供す る。
<定性リスク診断>
セキュリティ管理体制を簡易評価し,定性的にリスク診断を実施する。
<定量リスク診断>
一定のシナリオに基づいたサイバーリスクに関する予想損失額を簡易算 出し,定量的にリスク診断を実施する。
⑶ 専門事業者紹介サービス
平時・インシデント発生時にセキュリティコンサルティングや脆弱性診 断,調査・応急対応支援,コールセンター設置支援等,希望に応じた専門 事業者を紹介する。
⑷ ベンチマークレポートサービス(2017年10月より実施)9)
米国シリコンバレーのサイバーリスクモデリング会社であるサイエンス 社と提携し,企業がさらされているサイバーリスクの要因を様々な角度で 8) 東京海上日動(2015)参照。
9) 東京海上日動(2017)参照。
分析し,⽛サイバーリスクベンチマークレポート⽜として提供するもの。
本サービスによって,自社のサイバーリスクについて同業他社と比較する ことや,環境変化やセキュリティ対策によってリスクがどのように変化し ているのかを客観的に把握することが可能となる。
具体的には,二つのリスク指標に基づいた独自のフレームワークにより,
複雑なサイバーリスクを分析し,スコアリングする。
① 技術的リスク指標
企業のネットワークを構成するソフトウェアやサーバ構成,不正な通 信の検知情報などを多角的に分析し,外部から確認できる弱点やネット ワークへの侵入しやすさなど,技術的な観点からリスクをスコアリング する。
② 人的リスク指標
企業の知名度や業務内容,ウェブアクセスの状況,ダークウェブ情報 など,攻撃者がサイバー攻撃を仕掛ける動機を分析し,企業が攻撃者の 標的となる可能性の観点からリスクをスコアリングする。
⚗.日本のサイバーセキュリティ市場の状況と今後の展望
2016年の世界でのサイバー関連の保険市場の規模は,総額25億米ドルから 35億米ドルの範囲とされるが,そのうち,米国市場が全体の85%から90%で,
欧州市場が約⚕%から⚙%を占めると推定されている10)。一方で,日本市場 は2016年度に135億円と推計されている11)。すなわち,国際的には,米国が 市場の大半を占めており,日本は,全世界の数%でしかなく,乖離が非常に 大きい。
そもそもサイバーリスク保険を含めたサイバーセキュリティ市場全体にお いても,日本のマーケットは国際的には非常に小さな規模にとどまっている。
10) OECD(2017)P. 62.
11) 日本ネットワークセキュリティ協会(2017)2016年度国内情報セキュリティ 市場調査(Ver.1.1)45頁参照。
日本は全世界の数%を占めているに過ぎない。
このように,サイバーセキュリティ分野全般において,特に米国と比較し て,日本の市場はまだまだ未成熟である。日本市場が未成熟な理由として,
⽛サイバーリスク対策に関する認識の違い⽜と⽛法規制による強制力の違い⽜
があると考える。
⽛サイバーリスク対策に関する認識の違い⽜であるが,これは⽛訴訟環境 の違い⽜と⽛経営者の認識の違い⽜がある。
⽛訴訟環境の違い⽜でいうと,米国では,サイバーリスク対策を怠ったこ とが原因で情報漏えいが発生した場合は,個人も含めた損害賠償が一般的で,
その賠償額は高額なものとなる可能性がある。一方で,国内においては,訴 訟自体が一般的ではなく,個人情報漏えいが発生しても,当該企業が一人あ たり500~1ó000円程度,非常にセンシティブな情報の場合には⚑万円程度の お詫びの金券配布を行うといった対応が見られる。
⽛経営者の認識の違い⽜も,米国と日本では違いがある。企業に情報セキ ュリティに積極的な役員クラスのリーダーがいると回答した企業は,グロー バル企業全体では64%であったのに対し,日本企業の回答は41%にとどまっ ている12)。海外においては,情報セキュリティについて経営の課題と認識し ている企業が多いのに対し,日本では,情報セキュリティに関し IT 部門の 課題と考えている企業が多いことを示している。また,企業内で情報セキュ リティを統括する幹部である CISO(Chief Information Security Officer:最 高情報セキュリティ責任者)を設置している企業は,日本では62.6%である のに対し,米国は95.2%と大きく差がある。また,そのうち,専任の CISO を設置している企業は日本では27.9%であるのに対し,米国は,78.7%とな っている13)。このように⽛サイバーリスク対策に関する認識の違い⽜が日米 間で生じている。
次に⽛法規制による強制力の違い⽜であるが,個人情報漏えいが発生した 12) PwC(2014)44頁参照。
13) 情報処理推進機構(2017)22頁 図3.2-1参照。
場合,消費者への通知と公表を義務付けているかどうかという視点である。
米国では,州ごとにデータ侵害法(Security Breach Notification Laws,
Data Breach Notification Laws)が施行されており,企業が保持している個 人情報が漏えいした場合に,企業は消費者への通知義務を課されるとともに,
不十分なセキュリティ対策を行っていた企業は,損害賠償の責めを負うこと と な る。カ リ フ ォ ル ニ ア 州 が 2013 年 ⚗ 月 に セ キ ュ リ テ ィ 違 反 通 知 法
(Security Breach Notification Laws)を全米で最初に施行し,それ以後,州 ごとに同様の州法が制定され,最後に残ったアラバマ州が2018年⚖月に,サ ウスダコタ州が⚗月に施行し,州ごとに内容は異なるが,全米50州すべてに おいて,データ侵害通知法が施行された14)。
医療情報については,HIPAA法(Health Insurance Portability and Account- ability Act:医療保険の携行性と責任に関する法律)が,2013年に総括規則
(Omnibus Rule)により健康情報のプライバシーと機密性の保護の強化がさ れる15)など,情報漏えい時の通知と公表が義務付けられている。
更に,米国上場企業においては,SEC(U.S. Securities and Exchange Commission:米国証券取引委員会)から,年次報告書で,Form10-K(米 国外企業であれば,Form20-F)において,サイバーリスクやインシデント について,明示はされておらず任意の位置づけであるが,事実上記載が求め られている状況にある16)。
日本では,2017年⚕月に改正個人情報保護法が施行され,個人情報の定義 の明確化や個人情報保護の強化等が盛り込まれたが,情報漏えい時の通知や 公表に関する規定はない。また,医療情報についても,厚生労働省が⽛医療 情報システムの安全に関するガイドライン⽜を定めているものの,消費者等 への通知や公表の義務は課していない。サイバーリスクの開示については,
経済産業省が2016年12月に⽛サイバーセキュリティ経営ガイドライン⽜を策 14) Christin McMeley and William W. Hellmuth (2018).
15) Miller & Martin PLLC (2013).
16) PwC あらた監査法人(2013)16頁参照。
定し,翌年11月に改訂を行っている中で,⽛ステークホルダーからの信頼性 を高めるため,対策状況を開示させる。⽜といった項目が盛り込まれている。
ただし,現時点では米国ほどの開示状況には至っていない。
このような理由から,サイバーセキュリティ分野の日本市場は活性化して いない。しかしながら,日本においてこの状況が継続していくのかといえば,
そうではないであろう。今後マーケットが急速に拡大する可能性があり,二 つの動きが考えられる。
一つが,⽛国内におけるサイバーインシデントの増加⽜という動きである。
国立研究開発法人情報通信研究機構(NICT)によると,NICTER のダーク ネット観測網(約30万 IP アドレス)において2017年に観測された国内にお けるサイバー攻撃関連通信は,前年比1.2倍の合計1ó504億パケットに上って おり,増加を続けているが17),2020年の東京オリンピック・パラリンピック に向けて,攻撃は急激に増加すると予測されている。また,同じ調査で,主 な攻撃対象(宛先ポート番号)について,Web カメラやモバイルルータな ど半数以上が IoT 機器をターゲットにしたものだったとされるが,2020年 には,全世界での IoT デバイス数は300億個を超える予測されており18),サ イバー攻撃の対象となるシステムや機器が増加することから,サイバーイン シデントの増加に繋がると予測される。
もう一つが,⽛法規制による促進⽜という動きである。本年⚕月25日に欧 州連合(EU)で,GDPR(General Data Protection Regulation:一般データ 保護規則)が行政罰規定も含めて全面発効された。GDPR は個人データの 範囲を広くとらえた上で,データ収集から他に厳格な順守を求めており,例 えば個人データ処理の基本原則や同意取得に関して違反した場合などには,
違反者には最大で,世界売り上げの⚔%か200万ユーロ(日本円で約26億円)
のうち,いずれか高い方という巨額な制裁金が科される。また,GDPR で は,個人データの侵害が発生した場合には,72時間以内に規制当局ならびに
17) 情報通信研究機構(2018)⚒頁 表⚑参照。
18) 総務省(2017)126頁 図表3-3-1-1参照。
データ主体者にその旨を通知する義務が課せられている。企業にセキュリテ ィに関して技術的・組織的対応を求め,通知・公表義務が課せられることで,
情報漏えいに関わる費用負担や企業の風評リスクは今後高まっていくと思わ れる。
個人情報の取り扱いルールを強化する動きは,欧州にとどまらず世界的な 潮流となっており,サイバーセキュリティへの関心が国際的に急激に高まっ ている。国内でも,個人情報保護法の改正等,ルールの強化が進められてい るが,欧米のように,個人のデータ侵害が発生した場合の通知・公表義務が 法制化されることは,企業がセキュリティ対策の強化を行うインセンティブ として大きいと考える。こうした厳格な法規制が定められると,米国のよう にサイバーセキュリティに関する対策の必要性が高まっていく可能性がある。
こうした動きから,国内のサイバーセキュリティ市場が急速に発達する可 能性があり,それとともにサイバーリスク保険のニーズが急速に高まること が考えられる。このため,損害保険会社は,こうした事態を予測して商品・
販売戦略,リスク管理を行っていく必要があると考える。
⚘.サイバーリスク保険における今後の課題
Industry IoT(IIOT)および Industry 4.0,我が国でいえば Connected Industries からの Society 5.0は,その進展によって,多くのベネフィットが 得られるが,一方で産業用制御システム(Industrial Control Systems:ICS)
は,新たにサイバーリスクに曝されることとなる。既に2010年以降,海外で は工場や電力会社への攻撃によって,施設の破壊といった物理的な損害を与 えるサイバーインシデントが発生している。こうしたことから,海外では,
IoT の普及・促進を阻害しているものとして,セキュリティが最も多くあげ られている要因となっている19)。IoT セキュリティは,ネットワークに様々 な機器が繋がり,無数のコントローラーがあり,通信制御,デバイスの信頼 性等,複雑なシステムとなっており,これまでのサイバーセキュリティの技
19) eMarketer (2016).
術や知見をそのまま使うことはできない。このように,サイバーリスクは,
情報漏えいのリスクに加えて,工場等の制御システムの停止・暴走といった リスクがより高まっていくこととなる。
こうしたリスクは,サイバーリスク保険において,新たな補償へのニーズ に繋がる可能性があるが,一方で,損害保険会社としてマネジメントが困難 であるリスクの巨大化,集積化に繋がる可能性も増える。ニーズに対してど のように応えていくのかというところが,サイバーリスク保険の今後の課題 となる。
⚙.結 論
サイバー攻撃は,人の悪意に起因して発生する人為的な損害である。また テクノロジーの進展が,サイバー攻撃の対象範囲を拡大するとともに,攻撃 方法をも変化させる。つまり,リスク自体がテクノロジーの進展とともに変 化していくこととなる。そういう点で,現在最も顕在化しているエマージン グ・リスクの一つであるといえる。
デジタルイノベーションが急速に進展する中で,サイバーリスクへの備え が,産業の発展の上で不可欠となる。サイバーリスク保険に対する社会的な 要請も強まっていくことは疑いがないが,損害保険会社がそうした要請に応 え続けるためには,サイバーリスク保険に対する適切な保険引受体制やリス ク管理体制の構築を行う必要がある。しかし,そのためには,国内において,
企業のサイバーリスクの開示やサイバーインシデントの公表などサイバーリ スクの見える化を実現するなどして,必要となるサイバーセキュリティに関 するデータやノウハウを国内に蓄積させるとともに,産業全体,国全体でサ イバーセキュリティ対策を促進させてリスクの軽減を図ることが必要になっ てくる。とりわけ,取組みが進んでいないサプライチェーンにおける対策が 極めて重要となる。我が国の国際競争力を高めるためにも,官民が一体とな ったサイバーセキュリティ対策の実現こそが,エマージング・リスクである サイバーリスクへの対応として最も有効と考える。
(筆者は東京海上日動火災保険株式会社勤務)
参考文献
情報処理推進機構(IPA)(2017)⽝企業の CISO や CSIRT に関する実態調査2017 調査報告書⽞https : //www.ipa.go.jp/files/000058850.pdf (最終確認 2018.6.24) 情報通信研究機構(NICT)(2018)⽝NICTER 観測レポート2017⽞
http : //www.nict.go.jp/cyber/report/NICTER_report_2017.pdf (最終確認 2018.6.24)
総務省(2017)⽝情報通信白書平成29年度版 特集 データ主導経済と社会変革⽞
http : //www.soumu.go.jp/johotsusintokei/whitepaper/ja/h29/pdf/n3300000.pdf (最終確認2018.6.24)
東京海上日動(2015)⽛新商品⽝サイバーリスク保険⽞の発売について⽜(2015.2.9) http : //www.tokiomarine-nichido.co.jp/company/release/pdf150209_01.pdf (最終確認2018.6.24)
東京海上日動(2015)⽛⽝サイバーリスク総合支援サービス⽞の提供開始について⽜
(2015.8.10)
http : //www.tokiomarine-nichido.co.jp/company/release/pdf/150810_01.pdf (最終確認2018.6.24)
東京海上日動(2017)⽛ベンチマークレポートサービス⽜の提供開始について⽜
(2017.8.18)
http : //www.tokiomarine-nichido.co.jp/company/release/pdf/170818_01.pdf (最終確認2018.6.24)
西田助宏(NRI セキュアテクノロジーズ)(2016)⽝サイバーセキュリティ 傾向分 析レポート 2016⽞
https : //www.nri.com/jp/event/mediaforum/2016/pdf/forum240.pdf (最終確認2018.6.24)
日本ネットワークセキュリティ協会(2017)⽝2016年度 国内情報セキュリティ市 場調査⽞
http : //www.jnsa.org/result/2017/surv_mrk/ (最終確認2018.6.24)
BBC (2014) Hack attack causes ʻmassive damageʼ at steel works, Dec. 22, 2014 http : //www.bbc.com/news/technology-30575104 (最終確認2018.6.24)
Christin McMeley and William W. Hellmuth (2018) Alabama and South Dakota to Join Breach Notification Club, with Oregon and Colorado Updating Approaches, May 31, 2018
https : //www. privsecblog. com/2018/05/articles/dataprotection/alabama-and-
south-dakota-to-join-breach-notification-club-with-oregon-and-colorado-updating- approaches/ (最終確認2018.6.24)
eMarketer (2016) Security Is a Top Barrier to Internet of Things Growth, Feb. 24, 2016
https : //www. emarketer. com/Article/Security-Top-Barrier-Internet-of-Things- Growth/1013624 (最終確認2018.6.24)
Finkle, Jim (2012) Exclusive: Insiders suspected in Saudi Cyber attack, Reuters, Sep. 7, 2012
https : //www. reuters. com/article/net-us-saudi-aramco-hack/exclusive-insiders- suspected-in-saudi-cyber-attack-idUSBRE8860CR20120907 (最終確認2018.6.24) Patrick Lambert (2013) What the Mandiant report reveals about the future of
cyber espionage Feb. 24, 2013
https : //www.techrepublic.com/blog/it-security/what-the-mandiant-report-reveals- about-the-future-of-cyber-espionage/ (最終確認2018.6.24)
Miller & Martin PLLC (2013) Significant Changes to HIPAA Effective March 26, 2013, Feb. 28, 2013
https : //www. jdsupra. com/legalnews/significant-changes-to-hipaa-effective-m-51197 (最終確認2018.6.24)
OECD (2017) Enhancing the role of insurance in cyber risk management, OECD https : //read.oecd-ilibrary.org/finance-and-investment/enhancing-the-role-of-insurance- in-cyber-risk-management_9789264282148-en#page62 (最終確認2018.6.24) PwC (2014)⽝相互につながった世界におけるサイバーリスクマネジメント グロ
ーバル情報セキュリティ調査2015⽞
https : // www. pwc. com / jp / ja / advisory / research - insights - report / assets / pdf / information-security-survey2015.pdf (最終確認2018.6.24)
PwC (2015) ⽝Insurance 2020 & beyond:サイバー保険に関する展望⽞
https : //www. pwc. com/jp/ja/japan-knowledge/archive/assets/pdf/insurance2020- beyond-cyber1512.pdf (最終確認2018.6.24)
PwC あらた監査法人(2016)⽝サイバー・セキュリティ・リスクの開示に係る動 向⽞PwCʼs View, Vol. 3
https : //www.pwc.com/jp/ja/japan-knowledge/pwcs-view/pdf/pwcs-view201607-3.
pdf (最終確認2018.6.24)
