目立つ知名度の低さ

　「サイバー攻撃の損害を補償する保険があるなんて知らなかった」

　今春、自社のサーバーが不正にアクセスされ、ホームページ（ＨＰ）が改ざんされた東京都内の企業関係者は、こう打ち明けた。

　同社はＨＰが復旧するまで商品の予約が取れない状態に陥り、サーバーの復旧や被害の調査などに億単位のお金がかかったといい、関係者は「保険に加入してさえいれば、損害の大半が補償されていたかもしれない…」と悔しがる。

　事実、国内のセキュリティー企業幹部は「サイバー攻撃に遭うまで、保険の存在や、加入で得られる補償の内容を認知していなかった企業は少なくない」と指摘する。

　例えば、ＡＩＵ損害保険（東京）が昨年１月から日本で取り扱いを始めた「ＣｙｂｅｒＥｄｇｅ（サイバーエッジ）」に加入した場合、サイバー攻撃による損害費用が最大１０億円程度まで補償される。補償対象は被害調査の代金や顧客・取引先への賠償金のほか、攻撃によって停止した営業活動が再開するまでの逸失利益も含まれている。

　企業がＡＩＵ損害保険に支払う保険料は、補償額や企業規模などによって変わるが、売上高１００億円のＩＴ企業で補償限度額を５億円に設定した場合、保険料は年４００万円前後になる。

　企業にとって安くない出費になるが、被害調査の際にＡＩＵ損害保険にプロの業者を紹介してもらえるメリットもあり、「実際に攻撃を受けたときの損害額を考えると、リーズナブルな保険料」（セキュリティー専門家）といえる。しかし知名度の低さもあってか、ＡＩＵ損害保険が昨年度に目標に掲げた国内１００社の契約には届いていないという。

　盛り上がる米国市場

　その一方で、サイバー攻撃が横行する米国では、サイバー保険市場も急拡大している。

　損害保険会社のシンクタンク「損保ジャパン日本興亜総合研究所」（東京）などによると、サイバー保険は米国で１９９０年代後半に登場。ここ数年で急激に市場を拡大しており、現時点で、加入した米企業が支払った総保険料は約１０億ドル（約１０２３億円）と推計される。保険の加入を検討しているのは、大企業やＩＴ企業にとどまらず、中小企業や学校、病院に広がっている。

　米国では昨年１２月、大手スーパーチェーン「ターゲット」で、売り上げ記録のデータ管理などに使われる「ＰＯＳ端末」がウイルスに感染。顧客のクレジットカードの暗証番号など約１億１千万件が流出する被害が発生した。米国のセキュリティー専門家は「全米で誰もが知るスーパーマーケットがサイバー攻撃で大損害を受けたことで、どの業界のトップも攻撃を完全に防ぎきれないと悟った」と説明する。

　日本では理解されない想定リスク

　日本でも当然、社内システムのウイルス感染による情報漏洩（ろうえい）などの被害が連日のように報道される中、サイバーテロの脅威を感じない経営者はほとんどいない。だが、いざサイバー保険の加入となると二の足を踏む企業が多いのが実情だ。

　「まだ攻撃を受けてもいないのに、なぜ被害を想定した費用をつぎこまないといけないんだ」

　大阪府内の中堅企業で、サイバー保険への加入の必要性を訴えたセキュリティー担当社員が、上司にそう指摘され、加入を断念したという。同社では、すでにサイバー攻撃を防ぐ対策費用に多額の投資に踏み切っており、被害が発生した場合の想定リスクにまで投資する余裕がなかった。

　保険業界関係者は「日本企業は、サイバー攻撃の侵入をゼロにする対策の整備に必死になるあまり、発生した場合に備えた投資に興味を示さない傾向が強いのでは」と分析する。

　ただ、サイバー攻撃の手口が巧妙化する中、企業は常に最悪のケースを想定しておかなければならない状況下に置かれているといえる。

　顧客の預金や情報の流出など深刻な被害につながりかねないサイバー攻撃には防止策だけでなく、被害を受けた場合の損害を最小限にとどめる対策も万全にしておくことが求められる時代に入っている。