海外子会社が狙われる

大企業をターゲットとしているハッカーの多くは高度なハッキング技術を持っており、攻撃に際してセキュリティーレベルがより低い、つまり脆弱性の高い海外子会社を狙って侵入し、そこを踏み台として本社や他の子会社に攻撃を展開するという段階的な方法で目的を遂げることが可能です。本社のIT・セキュリティーに関する投資を増額して集中的にセキュリティー強化を進めていれば十分ということはなく、海外子会社についても同じレベルの対応が必要だということを認識する必要があります。

サイバーリスクに係るリスク転嫁策として、サイバーセキュリティー事故に起因する損害(損害賠償金、各種費用、喪失利益)が発生した際の財務的な補償を確保するために、サイバー保険を購入する企業が増えています。日本国内では、2005年の個人情報の保護に関する法律(いわゆる個人情報保護法)の施行に合わせて、各保険会社が個人情報漏えい保険の販売を開始し、この保険商品が広く浸透してきました。保険会社によって詳細な補償内容は異なるものの、サイバー保険は個人情報漏えい保険に比べるとより補償が広く、例えば情報漏えいが発生していないセキュリティ侵害やサイバー脅迫の発生についても保険が発動し、ネットワークの停止に起因する事業中断に対する補償(喪失利益および営業継続費用)も得られます。

購入率が低い日本企業のサイバー保険

しかし現状では、日系企業のサイバー保険の購入率は、欧米企業に比べると高くありません。この状況は、個人情報を多く保有・管理する金融、ヘルスケア、小売、サービス等の業種のみならず、いわゆる製造業やインフラ事業など、全ての業種についておおむね同様です。日系企業の海外子会社が、本社が購入していないサイバー保険を購入済みであるというケースもよくあります。近年買収して新たに子会社となった欧米の子会社がある場合、このような傾向はさらに顕著です。過去に欧米で大規模な情報漏えい事故が多く発生し、集団訴訟による賠償金や和解金が莫大な額に上ったケースが多くあることが関係しています。また、所在国や業種によっては、現地の商取引に際して契約相手からサイバー保険の付保を求められることが増えていることも、欧米でこの保険の認知度と購入率が高くなっている要因の一つとなっています。

本社から海外子会社のリスク管理状況や保険付保状況を把握している企業の場合、子会社がサイバー保険を購入済みであること、あるいは新たにサイバー保険を購入したことがきっかけになり、本社でも購入の検討が進むケースがあります。子会社のリスクマネジャーからの提案や要請によって、本社がより高い支払限度額のサイバー保険プログラムを新たに構築し、海外子会社は既存の保険契約による補償の上乗せを獲得する、というケースも見られます。海外子会社の保険付保状況を把握していない企業の場合でも、子会社で情報漏えいや事業中断といった何らかのサイバーセキュリティー事故が発生し、保険による補償を得たことをきっかけに、本社でサイバー保険の商品特性や必要性が改めて認識される、といったケースもあります。

コスト効率を考えると、本社と海外子会社が別々にサイバー保険を購入することはお勧めできません。本社が主導して、経営の屋台骨を揺るがすような大規模な損害を被った場合に十分な金額の補償を得られるよう、また国内外全ての子会社を被保険者として包括的に含むよう、自社グループのリスクプロファイルや体力(リスク耐性)に合った補償のサイバー保険プログラムを構築することを推奨します。

(了)

エーオンジャパン株式会社
スペシャリティ部 賠償責任スペシャリスト
鈴木由佳