リモートワークやウェブ会議、業務でのクラウドサービスの利用が一般的になってきた現在。業務でITを扱う企業にとって、サイバー攻撃への対策は重要なものとなっています。もしもサイバー攻撃による被害を受けた場合、思いがけない損害を被るかもしれません。

  • サイバー被害は大企業だけの問題ではない。中小企業にも起こりえる
  • サイバー被害で被った損害を補償するのがサイバー保険
  • 保険に加入するだけでなく、いざという時のために社内体制を整えることも重要

企業規模に関係なく被害額が大きい場合もある

日本損害保険協会「国内企業のサイバーリスク意識・対策実態調査2020」では、対象企業のサイバーリスクによる被害(以下、サイバー被害)状況の調査結果をまとめています。

国内企業のサイバーリスク意識・対策実態調査2020 集計報告書PDF

水への投資 世界的に不可欠な資源への投資機会 BNPパリバ・アセットマネジメント

同調査によると、サイバー被害は対象企業のうち1割ほどが経験していると回答しています。企業規模ごとの回答を見ていくと、企業規模が100人を超えると被害経験は増えていき、最大で4割近い企業がサイバー被害を受けているようです。

【図表1】企業規模別のサイバー被害の実態
企業規模別のサイバー被害
出所:日本損害保険協会「国内企業のサイバーリスク意識・対策実態調査2020 集計報告書」問17.サイバー被害状況についてお伺いします。貴社ではこれまでにサイバー被害を受けたことはありますか。(SA)より

また、サイバー被害を受けた際の被害総額には企業規模による差はほとんどない点も注目です。大企業・中小企業いずれも50万円未満が7割と大部分でしたが、100万円以上の損害が発生している中小企業は約1割おり、中小企業でも1000万円以上1億円未満と高額な被害が発生したという回答も見られます。

【図表2】サイバー被害を受けた場合の被害総額
サイバー被害の総額
出所:日本損害保険協会「国内企業のサイバーリスク意識・対策実態調査2020 集計報告書」問18-5.サイバー被害を受けた際の被害総額(複数回被害を受けたことがある場合は、もっとも被害が大きかったもの)について教えてください。(SA)より

サイバー被害を受けた場合、原因調査や復旧を外部の専門家に委託したり、取引先や顧客への謝罪対応などを実施したりする必要が出る可能性があります。そうした対応時にかかる費用の面で、思いがけず大きな負担が発生するリスクが企業規模に関係なく存在すると考えるべきでしょう。

サイバー被害で負った損害費用に活用できるサイバー保険

こうしたサイバー被害により発生した損害費用には、「サイバー保険」が活用できる場合があります。サイバー保険とは、上記のような悪意ある攻撃での個人情報漏洩やIT機器の機能停止などにより、損賠賠償請求や訴訟を受けた場合、また原因調査などの事故対応が発生した場合の費用を補償する保険です。

サイバー被害で損害を被った企業や顧客など、第三者への見舞金費用も限度額の範囲内で補償される保険商品もあります。また、サイバー被害により通常業務継続が難しくなった場合、それにより発生した利益損害や営業継続費用を補償される商品もあるようです。

補償金額は損害種類ごとに異なる上限額が設定されており、その範囲内で1事故または保険期間中の損害が補償されるものが多くなっています。また、保険料は加入する企業の業種や規模によって変動するのが一般的です。

海外との取引が多い企業の場合は、海外からの損害賠償請求も補償される保険商品がありますので、対象に含まれているかどうかをチェックしておくのが良いでしょう。

さらに、社内のサイバーリテラシーを高めるためのサイバー攻撃訓練サービスが付帯されている保険もあります。いざという時のために社内のリテラシー向上を図りたいという企業にとっては、魅力的なサービスとなりそうです。

【図表3】サイバー保険商品の一例
保険会社 保険商品 概要
東京海上日動 サイバーリスク保険 サイバー攻撃が実際に発見された場合だけでなく、サイバー攻撃のおそれがあった場合も補償
三井住友海上 サイバープロテクター 社員向けの標的型メール訓練の実施と、結果に関する簡易レポートサービスが利用できる
損保ジャパン サイバー保険(サイバーリスクソリューションプラットフォーム内) サイバー攻撃対応訓練やPDCA体制構築など、サイバーリスク回避サービスも提供する

※ここでは保険商品の概要を説明しています。詳細は各保険会社のウェブサイトやパンフレットなどを必ずご確認ください

「サイバーセキュリティ経営ガイドライン」などを参考にセキュリティ対策の検討を

いざという時の準備もそうですが、事前にセキュリティ対策を高めておく対策も重要です。

経済産業省が大企業・中小企業向けに独立行政法人情報処理推進機構と共に策定した「サイバーセキュリティ経営ガイドライン」では、「経営者が認識すべき3原則」「サイバーセキュリティ経営の重要項目」(セキュリティ責任者への指示すべき項目)などをまとめています。さらに、付録として「サイバーセキュリティ対策構築・人材確保の手引き」など、社内体制を整えたいという場合のための参考資料もあります。

セキュリティ対策を進めたいが、何から着手すべきか? と迷われた場合には、こうした資料を最初の一歩とするのも方法の一つでしょう。

メルマガ会員募集中

ESG特集