多発する個人情報漏えい事件と、来春から施行される個人情報保護法を背景に、ITベンダーの情報セキュリティビジネスが活気を帯びている。そんななか、情報漏えいが起きた場合に備え、「個人情報漏えい保険」を新たに商品化する保険会社が急増している。情報が漏えいした際の損害賠償費用を負担したり、その後の対策費用を提供する商品だ。ITベンダーの中には、自社のセキュリティビジネスの付加サービスとして保険を組み入れるなど、保険会社と協業するケースも出てきた。「まだまだ発展途上の商品」との声もあるが、個人情報保護法の施行が迫るにつれて、ますます注目を集めそうだ。（木村剛士●取材／文）

セキュリティビジネスの付加サービス

■訴訟費用や顧客対応に保険金支払い　支払額は3000万－5億円が相場

　昨年後半から今年にかけて、企業・団体の個人情報漏えいが顕著になったのは言うまでもない。ローソンやソフトバンクBB、ジャパネットたかた、日本信販などの大手企業を中心に、あらゆる業種で個人情報の流出が明るみになった。個人情報の流出は“信用失墜”という致命的な損害を生じるだけでなく、ITシステムのセキュリティ強化費用や、訴訟が起きた場合の損害賠償金の支払いなど、金銭面での実被害も大きい。

　451万7039件という過去最大の個人情報を漏らしたソフトバンクBBは、情報が漏れた顧客全員に500円の金券を送付する措置をとった。「郵送費などを含めれば約40億円の損失」（孫正義社長兼CEO）を余儀なくされ、加えて、「情報システムのセキュリティ対策強化費用に数億円」（同）投じている。

　また、京都府宇治市では、住民基本台帳ネットワークシステム（住基ネット）の個人情報が流出して訴訟が起き、損害賠償金として1人あたり1万5000円の支払い命令が下っている。

　信用が問われる面が大きい個人情報流出だが、事件直後の金銭的被害も甚大で、中小企業では事後対策を考える以前に、倒産に至る危険性もあり得るのだ。

　そんな状況下、急速に増え始めているのが「個人情報漏えい保険」。訴えを起こされた際の訴訟費用や弁護士への相談費用、顧客への対応、事故原因の調査費用などに保険金が支払われる仕組みだ。AIU保険会社、損害保険ジャパン、三井住友海上火災保険など大手保険会社を中心に、続々と商品化されている。各社のメニューや契約の仕方はさまざまで一概には言えないが、保険料は年額10数万円から数1000万円、保険金は3000万－5億円程度が相場だ。

　AIU保険会社の中江透水・ITリスクスペシャリストは、「個人情報を守る100％の術はないだけに、万一の対策として保険も必要になる。リスクを見越し保険にも加入することで、ユーザーはトータルの個人情報情報漏えい対策が施せる」としており、今後も個人情報漏えい対策関連の保険を積極的に増やしていく計画だ。

■損害保険会社が相次ぎ参入　将来はサービスの不可欠な要素に

　サンクスジャパンは、個人情報漏えい保険も含め、情報システムのトラブルに備えた、IT保険に特化した保険代理販売業を今年7月からスタートした。AIU保険会社、損害保険ジャパン、ニッセイ同和損害保険の3社の個人情報漏えい保険を販売している。

　サンクスジャパンの武山知裕・IT保険事業部部長は、「個人情報保護法の施行で、企業のセキュリティ投資が活発化することは必至。保険に対する関心も当然高まる」と、事業開始の理由を説明する。「保険会社によって契約の仕方やメニューも違うし、また（個人情報漏えい保険に関する）情報も不足している。ユーザーはどの保険にすれば良いか困惑している。複数の保険を顧客に分かりやすく提案できるIT保険に特化した保険販売会社は必要になる」と、IT保険に特化したビジネスモデルに自信を示す。

　一方、ITベンダーの中からも、個人情報漏えい保険を活用する企業が出てきた。ソフト開発・販売の三和コムテックは、AIU保険会社と業務提携。ウェブサイトの安全性保証サービス「ハッカーセーフ」の信頼性、安全性をアピールするために、AIUの個人情報漏えい保険を無料で付加した。脆弱性診断に合格した顧客のシステムから、万一、個人情報が漏れて訴訟が起き、損害賠償金を支払うように命じられた場合、ユーザーは最高500万円を保険金として手にすることができる。

　三和コムテックの柿澤晋一郎社長は、「保険を付加することで、顧客には安心して『ハッカーセーフ』を導入してもらえる。信頼性を高めて販売に弾みをつけたい」と説明しており、保険を販促ツールとして活用していく。

　また、大塚商会も個人情報漏えい対策製品・サービス販売の強化のために結んだ8社とのアライアンスに、損害保険ジャパンもメンバーとして組み込んでおり、総合的なサービスのラインアップに保険は欠かせない要素となりつつある。

　今月中旬に「個人情報保護ソリューション」を発表したNECでも、「保険に対する実需があるかなど、詰めるべき課題はあるが、数社の保険会社と話を進めており検討中」（田中伸佳ユビキタスソフトウェア事業部シニアマネージャー）と、今後、同ソリューションのサービスラインアップに保険を加える可能性もあることを示唆する。

　来年4月1日に施行される個人情報保護法を前に、企業のセキュリティ投資がますます高まるとの見方は強い。保険が注目を集めるとともに、自社サービスの信頼性確保やセキュリティビジネスの差別化要素として、今後も保険会社と協業体制を組むITベンダーは増えそうだ。

個人情報保護法   　正式名称は、「個人情報の保護に関する法律」。国や地方自治体、企業が、個人情報を取り扱うことの責務を明確にするとともに、守るべき義務を定め、個人の権利を保護することを目的としている。2003年5月30日に成立し、05年4月1日から施行される。 　原則として5000件以上の個人情報を保有する企業・団体が対象となる。 　個人情報を取得する企業は、主に（1）利用目的の本人への明示、（2）本人の了解を得て取得、（3）常に正確な状態で個人情報を保つ体制をつくる、（4）流出や盗難、紛失を防止する、（5）本人の同意がない利用は本人の申し出により停止する──の5項目を守らなければならない。 　管理体制のずさんさなどから、万一、上記項目に違反した場合、企業・団体の代表者またはセキュリティ管理者には6か月以下の懲役または30万円以下の罰金が課せられる。 　個人情報保護法の施行をにらみIT市場では、個人認証やアクセス制御ソフト、IT資産管理ソフトなど、企業・団体内部からの情報流出を防ぐ製品・サービスの販売が伸びている。また、「プライバシーマーク（Pマーク）」や「ISMS（情報セキュリティマネジメントシステム）適合性評価制度」といった企業のセキュリティ体制を第3者が評価・認証する制度も注目を集めており、それに伴う取得支援コンサルティングサービスも急増している。 　あるITベンダーは、個人情報保護法の施行時点で「対象企業・団体のすべてが、個人情報保護対策を施せている可能性は皆無」として、施行後でも向こう2－3年は個人情報漏えい対策関連の特需があるとの見方を示す。