検討支援のためのサイバー保険ガイドライン

12 December 2018

原文: CYBER INSURANCE GUIDE TO AID DISCUSSIONS

保険業界団体がサイバー保険購入ガイドライン作成に向け連携している。ガイドラインの発行は、あらゆる規模の企業が保険ブローカーと協業し見積もり取得のための情報提供や保険会社の商品を評価する際の支援を行う事を目的としている。

このガイドラインは、Federation of Risk Management Associations (FERMA)がEuropean Federation of Insurance Intermediaries (BIPAR) や欧州保険協会、欧州保険業界団体と連携して作成した。これは、FERMAがリスク軽減戦略と保険の比較評価を行うためのサイバーリスクの特定、定量化フレームワークを規定した2017年に発行のサイバーリスクガバナンスに関する報告書を基にしている。

障がいを乗り越える

このガイドライン‘サイバー保険のための準備’は保険購入者の視点から書かれており、企業が自身のサイバーリスクとサイバー保険の必要性を理解するための実践的なガイドラインとなることを目的としている。近年のサイバーインシデントにより、企業は自身が直面するサイバーリスクやそれを管理する必要性を従来以上に認識している。しかし、依然として多くの企業がサイバーセキュリティの懸念を具体的な行動に繋げることに苦慮しているとFERMAはいう。

報告書によれば、欧州のサイバー保険市場は未だ成長の余地があるという。その理由の一つは、絶えず発展し、世界中に急速に拡散するリスクを定量化するという困難な課題を保険会社が抱えていることだ。同様に、企業も自身のサイバーセキュリティリスクの正確な評価やそれらを軽減するための保険の効果的な活用がどのように出来るか苦慮している。

保険などのサイバーリスク軽減策を採ろうとする企業は、まず始めにリスクや潜在的な脆弱性について出来るだけ正確に評価を行わなければならない。その一歩として、企業は内部調査を行いリスクを可視化、それらにどのように対応するかを考える必要がある。しかし、この調査を行う事は困難だと報告書は述べている。

目標となる情報

ガイドラインでは、企業が保険ブローカーや代理店、保険会社と検討を行う際どのように最善の準備を行うことができるかアドバイスしている。例えば、ガイドラインは保険購入者に対し、保険会社にとって最も重要なアンダーライティング情報を準備する方法を支援している。必要な情報の概要やそれがアンダーライティングでどのように使用されるのか、その情報が企業のどこに存在するのかといった内容だ。

報告書によれば、保険会社は事業活動に伴うリスクや企業文化、情報システムセキュリティ(モバイルワーク方針、ITネットワーク、安全管理、産業制御システム)、ITサプライヤー、IT更新情報、個人情報などの情報を必要としている。ガイドラインによれば、これらの情報の入手は容易ではないものの、このプロセスを経ることで企業は強化すべきポリシーや手続きを特定できることから好循環が生まれるとしている。

補償の評価

また、報告書は企業がサイバー保険の評価、活用を支援するためのツールを提供している。保険会社が提供する保険ソリューションは同一ではなく、企業の規模や種別、業種、デジタル化の水準など企業の特徴によって異なる。通常、サイバー保険には予防策のアドバイスやサイバー関連インシデントが発生した場合の軽減サポートが含まれている。

ガイドラインはサイバー保険の4つの柱-予防、支援、運用、責任-を設定している。そして、サイバー関連補償の例や補償チェックリスト、サイバーインシデント発生時サイバー保険がいつどのように関係するか簡単に説明したシナリオを提供している。

シナリオは多くのサイバーリスクが付保可能であることを示している一方、補償の一部はサイバー保険以外の保険で有効となっている。そのため、保険購入者は保険仲介業者や保険会社と連携し、現行の保険契約における潜在的なサイバー補償とギャップを把握し、スタンドアローンのサイバー保険の価値を評価する必要がある。

ガイドラインによれば、万全な準備を行うことには保険会社や仲介業者との協議のみにとどまらないメリットがあるという。万全な準備を行う事で、サイバー事故が発生した場合に、企業が予防と対応の両面においてこれに直面する準備がどの程度出来ているかを測ることが出来る。同様に、保険会社はこれらの情報を元に企業のニーズに最も適した補償を提供することができ、インシデント前後のサービスの適切な提供も可能となる。

 

サイバー保険に関するお問合せはこちらより送信ください。