情報漏洩対策に使える保険とは?

情報漏洩対策に対応した保険があることってご存知でしょうか？企業がメルマガ配信やECサイト運営などによって、顧客の個人情報を持つことが多くなっています。同時に、不正アクセスの被害も多発するようになり、様々な形でのウェブアプリケーションに対する攻撃が見られています。たとえ強固なセキュリティー対策を講じているとしても、100%情報漏洩が防げるというわけではありません。そのため、万が一の備えとして情報漏洩が起こった場合に補償がなされる保険に加入する企業が多くなっています。これも一つのリスクマネジメントですので、真剣にその必要性を考慮すべきです。今回は情報漏洩対策に使える保険について解説していきます。

情報漏洩は企業にとって、大きな課題となっています。というのも、多くの企業がホームページを作成したり、業務システムとしてウェブアプリケーションやクラウドシステムを使うようになっていたりするからです。

ハッカーが不正なアクセスを試みるケースも増大していて、年々リスクは大きくなっています。さらに、企業が見込み客や顧客の情報を抱える割合も多くなっています。大企業だけでなく中小企業、個人事業者であっても、ユーザーのメールアドレスやパスワード、クレジットカード情報を収集することが増えているからです。情報が多ければ、それだけ不正アクセスによって情報漏洩が起こった場合のダメージは大きくなります。

顧客の個人情報が漏洩してしまった場合、何らかの補償をすることが求められます。そして、そのトータルでの補償額も大きくなっているのが現状です。具体的には、謝罪広告を出したり顧客に向けてお詫び状を送付したりする費用があります。また、必要に応じてそれぞれの顧客にいわゆるお見舞金を出すことが多くなっています。その額はケースによって異なりますが、顧客全てに支払いをするというケースが多くみられます。たとえ低い金額の見舞金でも、万単位の顧客リストだとすると、この費用だけでかなりの資金が失われてしまいます。

さらに、顧客からの問い合わせに対応するために、電話受け付けやメール担当の増強をすることになり、人件費もその分かかります。リスクマネジメントのコンサルタントに相談する場合、百万円単位でのコンサルティング費用がかかってきますので、かなりの負担となります。こうした費用を総合すると、経営に影響を与えるほど多額の補償費用がかかることも珍しくありません。これに加えて、被害が大きかった場合、顧客や取引先からの訴訟に発展するケースもあります。そうなると裁判費用や民事賠償金などの負担も出てきます。信頼度が下がり業績が悪化するリスクも含めると、かなりのダメージを受けてしまうのです。

こうした多額の補償が求められる個人情報の漏洩が起こった際、その費用を負担してくれるのが個人情報漏洩保険です。その内容を確認して、リスクマネジメントに生かせるようにしましょう。

情報の漏洩が起きた場合、補償してくれる損害の内容をまず知る必要があります。具体的には、顧客対応にかかる費用が補償されます。たとえば、カスタマーセンター委託のコスト、見舞金や見舞品の購入費用、謝罪のための広告掲載やお詫び状の送付などがあります。一方で、不正アクセスによって攻撃された設備やサーバーを復旧するための費用は負担されないことが多いです。あくまでも、顧客への対応にかかったコストが対象となるのです。

また、法的に賠償責任が生じた場合の補償もなされます。損害賠償金として決定された金額、弁護士費用を含む訴訟費用などが対象です。また、事故が起こった際に、緊急に対応するための措置費用も含まれます。ケースによっては相当な金額に上ることもありますので、こうした費用をカバーしてくれる保険はかなりありがたいものがあります。

万が一のための備えとなるサービスですが、いくつかの注意点もあります。きちんとリスクに備えられるように、細かな点も確認しておきましょう。

会社によって、漏洩した個人情報がどこまで含まれるかの定義が異なることがあります。自社としての理解では個人情報であるのに、保険会社ではそれを認めてくれず、補償がなされないというトラブルも起こりえますので、事前に理解を共有しておきましょう。多くの会社では、「個人が特定される情報」としています。これは、ユーザーの氏名や生年月日などによって、個人を特定できるものを指します。そのため、メールアドレスのみの流出では、個人情報とは定義されず補償の対象とならないことが多いのです。

また、個人識別情報も個人情報として認められることが多いです。具体的には運転免許証の番号や保険証番号、パスポート番号などがあります。また、マイナンバーも該当し、番号だけでも個人を特定できる情報ということで、個人情報として扱われます。こうした情報のみが補償に当てはまるという理解をして、インシデントが起こった際の対応に活用できます。

個人情報が漏洩すると、様々な付帯的な損害が生じることがあります。しかし、情報漏洩保険では、情報の漏洩によって直接生じた損害しかカバーされないことがほとんどです。たとえば、顧客のクレジットカード情報が流出してしまい、それによって不正使用された場合です。確かに情報流出によってクレジットカード利用に基づく損害が生じています。しかし、直接の被害ではありませんので、その不正利用分は補償対象とはならいのです。

また、加入者が法令に違反していて、それが原因で情報流出が起こった場合も補償がなされません。たとえば、一部の業界では顧客の情報や取引内容については、明確なルールに基づいて運用する必要があります。コストを下げるため、業務を楽にするためといった理由で、法令に違反してルールを無視していて不正アクセスが生じた場合、補償対象外となってしまうのです。また、社員がライバル企業などに情報を売るといった産業スパイ行為を働いた結果、情報流出が起きたケースも、対象とならないことがあります。

企業が顧客の個人情報を保持することが多くなっていると共に、不正アクセスのリスクが高まっている今、情報漏洩についてのリスクマネジメントをすることは必須と言えます。そのための経済的な助けとなる保険の活用はとても大事です。契約内容をしっかりと確認し、自社のリスクを下げるのに役立つかを検討し、積極的に加入するようにしましょう。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。