最近では、毎日のように新たなサイバーセキュリティ攻撃やデータ違反が起きているようだ。さらに、新手のハッカーは、会社のコンピュータシステムをロックし、会社が身代金を支払わなければ、機密データを公開したり、アクセスを永久に遮断すると脅している。

ランサムウェア攻撃は、次の2つの主な理由で劇的に増加している。第一に、最近のデータ漏洩事件の多くは多額の支払いとなっているので、サイバー犯罪者はより効果的な収益獲得計画として多くの攻撃を仕掛けている。この問題をさらに大きくしているのは、保険会社がサイバー犯罪の保険金を支払うので、恐喝の要求額は5桁から6桁あるいは7桁へと急激に上昇していることである。第二に、多くの業界の企業は、パンデミックのために、在宅勤務へとシフトしているが、それに対応するサイバーセキュリティ対策を十分には講じていない。これにより、悪意のある者が脆弱なシステムに侵入し、悪用する機会が増えている。

ランサムウェア攻撃が急増した結果、世界中の企業は、防御を改善するとともに、サイバー攻撃からの損失を防ぐために特別に設計された保険契約に加入し、サイバーセキュリティ対策を慎重に検討している。企業が積極的に脅迫による損失を回避する政策をとっている場合でも、あるいは攻撃を受けた後にオプションを検討している場合でも、潜在的な保険契約者は、サイバー保険の補償に加入する過程で直面する共通の落とし穴と課題を認識すべきである。

保険署名時における保険契約者の準備

保険契約者は、保険金請求が発生する前に、サイバー保険契約条項を理解し、交渉し、改善しなければならない。ランサムウェア攻撃が頻繁に起こるようになったことで、保険会社は引受プロセス中に、保険契約者のサイバーリスク管理プログラムをより詳細に精査している。保険会社は、保険契約者がランサムウェア攻撃を回避・軽減するためのより良いコントロール体制を備えることを期待している。具体的には、保険会社は保険契約者のセキュリティ対策や従業員のトレーニング、またデータがどこでどのように管理されているかの全体的な知識について、極めて詳細な情報を含む包括的な情報を求めている。

サイバー保険契約をする前に、多くの保険会社は将来の保険契約者に対して、正式な保険申込書と共に保証書の提出を義務付けている。保険契約者は、これらの契約書の範囲が広範囲に及ぶ可能性があることに留意する必要がある。従って、保険契約者は、これらの文書に署名する前に、慎重に検討して交渉する必要がある。

そのため保険契約予定者は、サイバー契約を申し込む際に、詳細かつ包括的に精査しなければならない。また、申込手続きにおいても、できる限りの情報提供に努めなければならない。このことによって、保険会社が申請に関する開示不足を指摘したり、保険金請求が行われた場合に保険契約を取り消すリスクを回避することができるからである。

引受プロセスにおいて保険契約者をより厳しく監視することに加えて、保険会社は契約条件に制限を加えている。異なるサイバー保険契約のもとで利用可能な保険の範囲には、かなりのばらつきがある。幸いなことに、これらの保険契約の多くは、補償の強化を含めることを交渉できるし、時には追加的な割増金がないこともある。しかしながら、これら補償強化を確保したり、それぞれのニーズに合った補償範囲を整えるためには、保険契約者がリスクの分析結果に基づいて適切な質問をして、適切な要請を行わなければならない。

保険会社が補償範囲を追加し限度額を引き上げるかどうかは、取り扱う記録の数、セキュリティ違反を防止するための既存の手順の厳しさ、および被保険者のデータ違反請求履歴によって決まる。したがって、保険会社の引受チームにIT専門家を紹介する前に、確実にIT専門家が十分に準備していることは、保険契約企業にとって極めて重要なのである。俗に言うように、第一印象を与える機会は二度とないのである。

保険契約希望者は、保険金請求活動の急激な増加によって、現在のサイバー保険市場が特に厳しい状況であることを認識しなければならない。また、保険契約者は、初回契約及び更新契約に係る保険料の増額を想定すべきであり、また、既存の保険会社がサイバー契約の更新を完全に拒否する可能性もある。

2021年5月、マーシュはサイバー保険費用が過去1年間で3分の1増加したと報告している。これは、コストのかかる企業に対するサムウェア攻撃の急増と関連している。こうした上昇率は世界全体で平均18%だったが、マーシュは、米国でかなり上昇していることを明らかにした。米国では、価格が2021年第1四半期に35%上昇し、2015年以降の年間上昇率が最も高いものであった。

もう一つの大きな懸念は、サイバー保険の内、特定の補償範囲の二次限度の追加である。こうした二次限度は市場に葛藤を作り出している。というのも、保険契約者は、日常的でコストのかかる損失に二次限度のある高額な保険に加入することに価値を見出せないからである。

引受業務の初期段階で精査することは、保険金請求が発生したときに予期せぬ補償範囲を巡るギャップが生じる可能性を最小限に抑えることになる。サイバー保険契約に加入している企業は、経験豊富な保険カウンセラーやブローカーと協力して、リスクに晒される度合いに応じた保険に可能な限りの低コストで加入するべきである。

侵入された後、通知する

適性評価を実施してサイバー保険に加入した後で、システムへの侵入があったときには、保険金請求届を出さなければならないとしよう。その時点で、被害を書面でタイムリーに通知することが重要性だと誰かが言ってくれるわけではない。サイバー保険は一般的に「請求」ベースで書かれており、請求の通知が遅れた場合、補償を完全に失効する可能性がある。したがって、システム侵入が発生した後に取るべき唯一の最も重要な措置は、たとえ適用される自家保険の保有額を超えないとしても、直ちに保険会社に通知することである。

多くのサイバー保険契約では、相当な自家保険保有額が設定されており、保険会社が保険金請求を受けず、または保険会社が保険販売会社に同意することなく被った費用は、一般にその保有額には及ばない。これによって、被保険者が保有額を適応して契約に基づき保険金の回収を開始することがより困難になる。しかしながら、サイバー保険の中には「販売会社の承認」を要するものがあることは、注目に値する。保険契約者が承認された保険販売会社を利用する場合には、保険契約は、保有額の活用を含めて発生したコストの全額を得るために、保険業者から直ちに同意を得る必要はないからである。

一般的にタイムリーな通知と保険販売会社の承認が示されれば、サイバー保険会社は請求を補償しているようである。保険会社が感じている主な弱点は、サイバー侵入で「元の状態に戻す」とはどういうことかに関連している。サイバー保険会社は、保険契約の目的が保険に加入した被保険者を、サイバーセキュリティの観点から、侵入される前の状態に戻すことであるということに議論を持ちかけている。彼はそれが真の解決策ではないと主張している。なぜなら、保険契約者は、そもそも攻撃を受けやすい元の状態に戻ることになるからである。従って、保険会社の主張によれば、損失を実際に「修正する」ためには、より良いセキュリティを導入しなければならないことになる。

加えて、保険契約者と保険会社は、ソフトウエアやハードウエアの陳腐化の問題により、そもそもシステムを元の状態に戻すことできるかどうかについて議論する。多くの保険会社は、セキュリティ・システムを「改善する」ことを補償するという裏書条項を含めることで、説明責任を果たしたと考える。しかし、保険契約者は、保険契約を締結するときは深く考え、この裏書条項を付け加えるべきか事前に問わなければならない。

進化し続ける脅威

増え続け進化し続けるサイバー脅威や、一部の企業に混乱とリスク遭遇可能性をもたらす在宅勤務制度への移行に直面しているとき、サイバー保険は非常に重要である。これらの保険契約とそれに対応する保険金請求は対処することが難しくなりうる。保険契約・更新手続きと保険金請求手続きの両方を綿密に検討し、保険金が最大限額面通り支払われるようにする必要がある。

トピックス
保険請求管理、COVID-19、犯罪、サイバー、新興リスク、保険、パンデミック、セキュリティ

注意事項：本翻訳は“Key Considerations When Obtaining Cyber Insurance”, Risk Management, December 2021, p.4-7 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。

[*]リンダ・A・ベネットはローウェンスタイン・サンドラー法律事務所パートナーで、保険金回収グループのトップ兼理事会メンバー。

ジャックリン・M・リヨンズはローウェンスタイン・サンドラー法律事務所アソシエートで、保険金回収グループメンバー。