【コラム】サイバー保険の良い点、悪い点、および醜い点を受け入れる

サイバーセキュリティリスクの評価については、企業経営者が最終的に理解していると思われます。サイバー保険市場は活況を呈しています。オンラインサイバー保険市場CyberPolicyのレポートによると、サイバー保険の契約数が過去1年間にわたって1四半期に平均69%増加しています。

この増加の主な要因は2つです。1つの要因は、契約者が増加したため、サイバー保険の価格が下落していることです。CyberPolicyのレポートによると、2017年4月には、補償金額が100万ドルの保険の毎月の保険料は平均271ドルでした。2018年6月には、同じ保険が、補償範囲が拡大して、わずか77ドルで販売されました。また、サイバー保険の新規契約数が、SMB（中小企業）所有者の間で増加しており、過去1年間にわたって1四半期に34%増加しています。CyberPolicyの契約者は補償金額がさらに大きい保険を求めており、SMBの90％は補償金額が100～500万ドルの保険を購入しています。

もう1つの要因は、契約上の義務です。SMBの46%は契約上の要件がサイバー保険を購入する主な理由であるとしています。
この理由はまったく朗報ですが、企業は保険会社がサイバーセキュリティ侵害の責任を誰が負うかを現在よりはるかに積極的に判断するようになると考える必要があります。保険業界は、企業が順守するさらに厳格な規則を定めると同時に、このような規則をさらに一貫性のあるものにするために、たとえば、サイバーセキュリティ侵害に関する情報を保険会社間で共有できるように政府に働き掛けています。カーネギー国際平和基金が発表しているレポートでは、保険とその料金を設定するためのさらに体系的な方法が求められています。

企業は請求によってセキュリティ侵害のコストがほぼ補償されると考えることに慎重になる必要があります。サイバー保険では利益の損失のみが補償される傾向があります。監督官庁などによる罰金は補償されません。このため、企業は、どのような保険でどのようなセキュリティ侵害が補償されるかを意識している必要があります。2016年と2017年の2件のデータ侵害を受けて240万ドルの請求を行ったNational Bank of Blacksburg in Virginiaは、その大部分の支払を拒否したEverest National Insurance Companyを告訴しています。Everestは、2件のデータ侵害がNational Bankのコンピュータ犯罪保険の追加条項では補償されないと主張し、5万ドルのみを支払いました。また、この5万ドルがデビットカードの追加条項で補償される1回の損失の範囲であると結論づけました。

サイバー保険に関する懸念は、セキュリティ侵害のコストが補償されると考える傾向がある企業経営者の間に誤ったセキュリティ意識が生じることです。このような企業経営者は、保険会社がリスクを負うと考えているため、サイバーセキュリティコストを削減する可能性もあります。しかし、現実は、まったく異なっています。セキュリティ侵害の継続的な急増を受けて請求件数も増加しているため、保険会社がこのような請求に対する支払を拒否する可能性は高いです。実際、企業は、請求を行うことができても、近い将来、サイバーセキュリティへの投資を増加する必要が生じる可能性が高いです。人的エラーが請求に対する支払を拒否する理由になる可能性もあります。結局は、保険会社は金もうけを行っているということです。保険会社が金もうけを行うための最適な方法は、支払う必要が生じる可能性がある請求の件数を最小限に抑制するために、企業がある程度のセキュリティを導入していると確認することです。

サイバー保険の現実は、多くの良い点、悪い点、および醜い点をほぼ同等に検討する必要があるということです。

＊本内容はBarracuda Blog から、2018年11月9日 Coming to Terms with the Good, Bad and Ugly of Cyber Insurance を翻訳したものです。