悩み(15) インシデントが起きた際の財務面でのリスクヘッジが十分ではない
q社は顧客情報を活用する業態であり、個人情報漏えい保険に加入している。しかし、サイバー攻撃等については加入している個人情報漏えい保険では補償されないケースがあると聞き、インシデント発生時の特に財務面でのリスクヘッジについて検討していた。
基本情報
q社の状況
- 製造業であり、ECサイト経由で、消費者向けに製品の販売を行っている。
- 顧客情報を活用する業態である。
- 個人情報漏えい保険に加入している。
q社のプロフィール
| 業種 | 製造業 | |
|---|---|---|
| 規模 | 4,000人 | |
| 管理 体制 | CISOの有無 | 有(CIOと兼任) |
| 専任のセキュリティ部署 | 有 | |
| サイバーセキュリティ の主管部署 | セキュリティ部門 | |
セキュリティ担当者の問題・悩み
q社のセキュリティ部門長は、既存の個人情報漏えい保険ではサイバー攻撃を受けた際に生じた被害の一部や調査費用は補償されなかった、という他社事例を聞いた。
そこで、現状の個人情報漏えい保険をこのまま契約し続けるべきか、インシデント発生時のリスク対策費用確保に係る経営リスクをよりヘッジする策は他にないか、を検討すべきと感じていた。
取組(15) 初動対応のコストを減らすサイバー保険の活用を検討する
解決に向けたアプローチ
そこでセキュリティ部門長は、保険会社に問い合わせるなどして、J社が加入している保険では以下の 問題点が解消されないことを認識し、対応策としてサイバー保険への加入提案を受けた。
【問題点】
- 情報漏えい保険では、情報漏えい以外の被害は補償されない場合がある。このためフォレンジック等の調査費用を工面するのに時間を要し、その間に被害が拡大する懸念がある。
- サイバー攻撃によって事業が中断した場合の喪失利益については、情報漏えい保険では補償されない。
【サイバー保険加入のメリット】
- サイバー保険の多くは、情報漏えいに加えて、Web改ざんやDDoS攻撃などの各種サイバー攻撃による被害やフォレンジック等の漏えい確定に必要となる調査費用も補償対象としている。
- 第三者への損害賠償や自社に発生した各種費用だけでなく、サイバー攻撃による生産停止で事業が中断した場合の損害賠償等も補償される。
セキュリティ部門長は上記を踏まえた上で、サイバー保険への加入を検討することとした。
得られた知見
セキュリティ部門長は「サイバー攻撃を受けてしまった場合は、速やかに被害を極小化することが大切。それは時間との勝負」と考えて検討を 進めた。保険加入により調査費用工面の社内稟議が不要となり、 スムーズな専門調査会社への発注で調査着手までを迅速化できる ことが最大のメリット、とも語った。
以下に参考までに日本でのサイバー保険の補償内容の主な例を示す。
日本で取り扱われているサイバー保険の補償内容の主な例
- 損害賠償責任(損害賠償金、争訟費用等)
- 危機管理対応(事故調査・被害拡大防止の費用、データ復元費用等)
- 情報漏えい対応(見舞金・見舞品費用、社告のための費用、行政対応費用等)
- 事業中断対応(事業中断に伴う喪失利益、営業継続費用等)