サイバー保険への注目が高まっている。サイバー攻撃を受けると、一時的な業務の停止、情報漏えいによる信用の低下など企業活動に多大な影響を及ぼすため、リスクヘッジの手段として契約件数が増えているからだ。大手企業を中心に認知度は向上しており、今後は中小企業の加入の増加も見込まれる。有識者の見解やサイバー保険事業に注力するITベンダーの取り組みから、市場を考察する。
（取材・文／岩田晃久、齋藤秀平）
 

日本損害保険協会
調査や情報発信で普及に注力

　損害保険会社などを会員とする日本損害保険協会は、情報発信やユーザー調査といった活動を通じて、サイバー保険の普及に取り組んでいる。

　同協会はサイバー保険について、「サイバー事故により企業に生じた第三者に対する『損害賠償責任』のほか、事故時に必要となる『費用』や自社の『喪失利益』を包括的に補償する保険」とし、「損害賠償責任」「事故対応費用」「利益損害・営業継続費用」が補償されるとする。損害賠償責任は、被保険者（補償の対象者）が法律上負担する損害賠償金や、争訟費用などが該当し、事故対応費用では、事故原因調査、コールセンターの設置、見舞金の支払い、再発防止策の策定などサイバー事故に起因して一定期間内に生じた各種費用が対象となる。利益損害・営業継続費用は、サイバー攻撃やインシデントによりIT機器が使用できなくなった際などに生じた利益損害(喪失利益・収益減少防止費用)となる。
 
　保険が適用されるケースに関しては、サイバー攻撃により、情報の漏えいまたはその恐れが発生した、ネットワークが利用できなくなり他人の業務を阻害してしまった、などが挙げられるが、同協会の経営企画部広報室の木村拓登・係長は「原因を調査しないと分からない部分もある。一概にこういったケースの場合は必ず保険が適用されるとは断言できない」と見解を述べる。続けて「補償内容も保険会社やプランにより違うため、確認するのが重要だ」と話す。
 
　近年のサイバー攻撃は身代金を要求するランサムウェア攻撃が大半だ。欧米の一部の保険会社は身代金の支払いを保険で補償しているが、国内で提供されている保険では、身代金は対象外となっている。これは、国や同協会がルールを策定しているのではなく、各保険会社の判断だという。

　サイバー保険に加入する企業は年々、増加傾向にある。同協会の会員で、サイバー保険を提供する保険会社9社の契約件数の合計は、2021年度が8万2072件だったが、23年度は18万5972件に拡大。保険料の合計も21年度の249億5362万円から23年度は404億4739万6000円と大幅に伸長している。ただ、同協会が中小企業1031社を対象に行った「中小企業におけるリスク意識・対策実態調査2023」によると、中小企業のサイバー保険への加入率は4.8％となっており、サイバー保険に加入しているのは大手から中堅企業が多いことが推測できる。

　加入率は低いが、中小企業のサイバー保険に対する認知度は高まっている。調査では21年度に36.6％だった認知率が23年度には46.9％へ上昇した。加えて、さまざまな損害保険がある中で今後の加入したい保険として、サイバー保険が上位に位置している。木村係長は「（中小企業に）サイバーリスクを自分ごとと捉えてもらい、その対応策としてサイバー保険を利用してほしい」と語る。同協会では、サイバー保険に関する特設サイトの開設やチラシの作成、経済産業局と連携して全国でセミナーを実施するなどしてサイバー保険の普及に注力している。同協会の業務企画部地震・火災・新種グループの黒川駿氏は「中小企業に必要な保険の一つとしてサイバー保険を位置づけている。認知度は拡大しているが、加入率は低い状況のため、分かりやすいシンプルなかたちで情報を発信していく」と話す。

大塚商会
市場はブルーオーシャン

　大塚商会は、日頃から顧客と密接な関係を構築している強みを生かし、中小企業を中心に順調にサイバー保険の契約を獲得している。サイバーセキュリティ保険販売統括責任者で、営業本部エリア部門MST特販部MST特販推進支援課の深川太郎・専任課長は、サイバー保険事業を取り巻く環境について「市場はブルーオーシャンだ」と語る。
 
　大塚商会がサイバー保険事業の取り扱いについて検討を始めたのは19年秋ごろ。大手損害保険会社から商材としての追加に関する提案を受け、顧客と継続的に関わっていく本業のビジネスとの親和性が高いと判断。販売に必要な資格を社員に取得させるなどの準備を進め、21年1月から本格的に販売を始めた。

　販売に当たっては、深川専任課長ら大手損保出身者が資格取得などをサポート。8月23日時点で、訪問型営業を担当する社員2670人が資格を保有しており、深川専任課長は「サイバー保険を専門に販売する代理店としては国内で最大規模だ」と胸を張る。

　取り扱うサイバー保険は、三井住友海上火災保険の「サイバープロテクター」をベースとし、独自の内容を設けた。具体的には、損害補償の支払限度額に応じて契約プランを分かりやすく四つに分類したほか、対策状況に応じて保険料を最大20％割り引く制度がある。

　事故発生時には、大塚商会が窓口となって顧客を支援。事故発生時の調査や復旧作業、被害者への対応、専門家への相談、法的な対応、再発防止といった事故対応に加え、保険会社とのやりとりをワンストップで支援しており、こうした体制を構築していることは「お客様に最も刺さるポイントになっている」（深川専任課長）という。

　サイバー攻撃の被害が相次ぎ、保険に対する中小企業の意識は徐々に高まっているものの、加入率はまだ低い状況について、深川専任課長は「お客様に誤解があったり、正しく認識されていなかったりするケースが多い。これは売る側の問題だ」と指摘し、ニーズをしっかりと取り込むためには、原因の特定や防御、検知対応、復旧で構成するセキュリティーフレームワークに沿ってしっかりと説明することが重要だと付け加える。

　大塚商会によると、7月には約570社にサイバー保険について説明し、見積もりの依頼は新規だけで約200社から受けた。契約は中小企業が圧倒的に多く、契約件数は毎年約1.5倍のペースで増えている。サイバー保険が顧客との商談の切り口となり、別の製品やサービスとセットで提案する機会が増えているという。

　現在、顧客のデータをAIで分析して加入の可能性についてスコアリングする仕組みの準備を保険会社と共同で進めており、9月にも運用を始める予定。深川専任課長は「大塚商会は、中小企業に浸透している会社。サイバー保険を武器に、もっとお客様に近づき、寄り添った存在になれるようにしていきたい」と意気込む。幅広い商材を提案する「オフィスまるごと」の推進にもつなげる方針だ。

情報処理推進機構
認定サービスの要件に組み込む

　情報処理推進機構（IPA）は21年、中小企業が安価で利用しやすいパッケージ型のセキュリティサービスをIPAが審査・認定する「サイバーセキュリティお助け隊サービス」制度を開始した。中小企業のセキュリティー対策支援を目的とし、認定要件として、相談窓口、異常の監視の仕組み、緊急時の対応支援に加えて、簡易サイバー保険を提供することを求めている。
 
　同制度は、中小企業に対するサイバー攻撃への対処として不可欠なサービスを効果的かつ安価に、確実に提供することをコンセプトとする。簡易サイバー保険を要件に含む理由についてIPAは「インシデント対応時に発生する初動対応や駆け付けなどの各種コストを補償するため」と説明する。認定したサービスが安価で提供できるように、標準的なサイバー保険ではなく、製品やサービスの付帯保険などが該当する簡易サイバー保険とする点が特徴となる。

　制度上における簡易サイバー保険のカバー範囲に関して、IPAは「補償対象となる事項、補償回数、補償限度額、免責金額などの内容については、明確な基準は設けていない」とするものの、各種コストの補償と共に、どの程度補償されるかをユーザーへ分かりやすい資料を用意して説明することを求めている。

　24年7月31日時点で、40社57サービスが同制度の認定を受けている。各社の認定サービスを販売する再販事業者も増えていることなどを背景に、2000社以上（3月15日時点）が利用しているという。

　IPAが実施した「令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業」に関する調査では、サイバー保険の加入率は10%未満だとし、日本損害保険協会の調査と同様に低い水準となっている。

　企業に対してセキュリティーの対策や取り組み方を示すIPAの「サイバーセキュリティ経営ガイドライン」において、サイバー保険の活用が触れられるなど、サイバー保険は組織的な対策の一つの選択肢として重要なことから、今後も同制度による取り組みなどを通じて幅広い企業に加入を促す考えだ。