【Web特別版】保険会社は戦争除外項目の範囲拡大に動く

ディラン・ラモルト、ジョシュア・ゴールド[*]

サイバー保険商品市場は、これまで以上に高額で厳しいものとなっている。NCCグループによると、2021年のサイバー攻撃は前年比でほぼ倍増した。保険会社はこれに対応した。マーシュ・グローバル・インシュアランス・インデックスによると、サイバー保険の保険料は2022年第1四半期に110%増加した。しかも、この増加があっても、需要が減退していない。マーシュのリスクマネジメント・コンサルタントであるマーク・シャインは9月、アクシオスに対し、顧客はコストの上昇にもかかわらず、サイバー保険プランを購入していると語った。2022年第2四半期の時点で、マーシュは初めて顧客の50％以上がサイバー保険を購入したと報告した。

十分なサイバー補償を求める保険契約者の課題を複雑化させることになるが、ロイズは現在、サイバー攻撃に関連する伝統的な戦争除外の範囲を拡大しようとしている。2022年8月16日に公表された同社の「ブルティンY5381」では、ロイズは単独のサイバー保険に適用される保険にすでに含まれている戦争除外項目に加えて、「国家が支援するサイバー攻撃から生じる損失に対する責任を除外するための適切な条項」を含めることを要件として設定した。

同公表によれば、少なくとも、国が支援するサイバー除外は、1) 保険契約に個別の戦争除外項目がない場合、（宣戦布告の有無を問わず）戦争から生じる損失を除外し、2) 国家の機能を著しく損ねる、あるいは国家のセキュリティ能力を著しく損ねる、国が支援するサイバー攻撃から生じる損失を除外し、3) サイバー攻撃の影響を受けた国の外に所在するコンピューター・システムの補償範囲を明確に包含または除外しなければならないとしている。

ロイズが、国家と緩やかな関係にあるサイバー犯罪集団からの最近の攻撃の急増や、ロシアによる最近のウクライナ侵攻に対応していることは、驚くにはあたらない。この侵攻によって何千もの企業が追放され、世界中の企業がサイバー攻撃にさらされやすくなっている。しかし、ロシアに関連するすべてのサイバー攻撃が国家による支援や戦争行為であることを意味するわけではない。

ロイズはまた、テロリズムによる損失という文脈で戦争除外の適用を狭める判例法に対応しているのは間違いない。損害保険契約の下では、裁判所は主に、戦争除外は、軍事力および主権国家間の武力紛争に関する、より伝統的な狭い範囲での概念に適用されるとみなしてきた。裁判所は通常、戦争除外が適用されるかどうかを決定する際に、1）どのような種類の物理的兵器が使用されたか、2）当事者が軍服を着ていたか、3）戦後勲章が授与されていたか、などの特定の要因を分析する。

これらの判決に対するロイズの反応は、販売する保険に除外文言を追加することにあると思われる。より具体的には、新たなロイドの除外項目は、国家の支援を受けたとされるサイバー攻撃には適用されない戦争除外項目を明示的に判断した裁判所の判決に対応するものである。

例えば、2021年12月のメルク社とエース・アメリカン社との判決では、ニュージャージー州上級裁判所は略式判決で、メルクのコンピュータ4万台に対するNotPetyaマルウェア攻撃に関する14億ドルの損失について、メルクの保険会社に対する請求に戦争除外が適用されないと裁定した。メルクは、コンピュータのデータおよびソフトウェアの破壊や破損に起因する損失または損害をカバーするために、17億5000万ドルを限度額とするオールリスク保険を購入した。保険会社は、ウクライナに対する継続的な敵対行為の一環としての「ロシア連邦の手段である」と主張したマルウェアの発生源を考慮すると、補償の対象外であると主張した。メルクは、この攻撃は公的な国家活動ではなくランサムウェアの一形態であり、たとえそれがウクライナに損害を与えるためにロシアによって仕掛けられたとしても、その攻撃は保険目的のために解釈される従来の戦争形態に該当しないため、戦争除外は適用されないと主張した。

裁判所は、「保険契約の免責事項が適用されることを示す立証責任は（保険会社に）ある」ことを強調し、「ここに記載されている事実に近いものに戦争（または敵対行為）除外を適用した裁判所はない」というメルクの立場に同意した。裁判所は、戦争除外で使用される言語は「長年にわたり事実上同じ」であり、両当事者がサイバー攻撃を認識していたにもかかわらず、保険会社は、「サイバー攻撃を除外する意図があることを（メルク）に知らせるために、免責条項の文言を変更することは何もしていない」と説明した。裁判所は、戦争除外が適用されないとする保険契約者に有利な略式判決を下した。

メルク訴訟を扱った裁判所は、戦争除外は明示的に別段の合意がない限り、伝統的な形態の戦争にのみ適用されることを明確にした。ロイズは現在、国家が支援したとされるサイバー攻撃を除外するために戦争除外の適用を拡大する可能性を試みている。「ブルティンY5381」は、国家が支援するサイバー攻撃の補償を除外する新しい条項が、「戦争以外の、国家が支援するサイバー攻撃」が補償の対象外であることを疑う余地がないように「強固な表現」を用いていることを繰り返し強調している。この除外は、「国家が支援するサイバー攻撃が1つまたは複数の国家にも対してもどのように訴求するかについて、当事者が合意する強固な根拠を示す」ものであり、「すべての重要な用語が明確に定義されることを保証する」ものでなければならない。要約すると、ロイズは、国家が支援するサイバー攻撃から生じる請求を除外するために、それを拡大することによって、サイバー賠償責任およびサイバー財産損害保険の戦争除外を歴史的に狭い適用を再定義しようとしているのである。

ロイズの新たな除外は、保険業界全体に波及効果をもたらす可能性がある。したがって、保険契約者は、保険市場で最も有利な条件を得るために、保険ブローカーと協力すべきである。保険契約者は、損失や請求に直面したときに、適用できる可能性のある他の手段を排除して、単独のサイバー保険商品のみに焦点を当てるべきではない。また、これらの新たな除外の適用範囲について、保険会社の立場を検証する必要があるかもしれない。

トピックス
サイバー、請求管理、例外規定、保険、国際、リスクマネジメント

本翻訳は“Insurers Move to Expand Scope of War Exclusions ”, Risk Management Site (https://www.rmmagazine.com/articles/article//2022/11/23/insurers-move-to-expand-scope-of-war-exclusions) November 2022,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ディラン・ラモルトはアンダーソン・キル・フィラデルフィア事務所弁護士、保険回収グループのメンバー。
ジョシュア・ゴールドはアンダーソン・キル・ニューヨーク事務所株主、アンダーソン・キルのサイバー保険回収グループ会長、同社海上貨物業界グループ共同会長。サイバー・インシュアランス・クレイムズ・ケース・ロー＆リスクマネジメント社のダニエル J. ヒーリーと共著あり（近刊）。