サイバーリスク保険と日本の未来
昨今、情報セキュリティ対策を講じなければならないと各企業それぞれ動き出している、というより、もうすでに対策を打っていなければ遅いのかもしれない。
東京海上日動火災保険の企業向け保険に、「サイバー・情報漏えい事故の保証」を新設したとのこと。
あれ? 昔から東京海上日動でサイバー保険なかったっけ? と。
損保ジャパンはじめ、多くサイバー保険の取り扱いをしています。
この東京海上日動の商品の特徴として、特筆すべき箇所といえば、「セキュリティ状況に関する申告書の提出を不要とする」という点です。
詳細はまだわかっていないので、はっきりとは書けないが、他の保険会社では最低限のセキュリティ対策が講じられていること等を加入条件としていることが想像できますね。
必要としていたセキュリティの状況報告が不要である、ということは、今までのように保険に加入するために情報セキュリティ対策を行うというステップを軽減できる(?)ため、費用対効果が見えづらく「事業活動に金使いたいのに、なんで情報セキュリティなんかに金使わなきゃならねーんだ! 大体どこから金を捻出すればいいんだ、チクショー!」と言う、費用をいくら考えておけばよいのかわからない経営層には、多少なり導入コストが低く抑えられそうな感じはしますし、そう見えます。
まして中小企業向けならなおさら。
中小企業が情報セキュリティ対策に掛けられるコストって多くはないですからね。
懸念としては、保険加入者が、保険によるリスク移転はあくまで二次案でなければならない点をちゃんと理解できているか、です。
セキュリティアセスメントと対応の費用をケチって、サイバー保険のみに頼ってやり過ごそうと考えるのは大間違えです。
インシデント時に費用はたくさんかかります。
その費用が保険でまかなえたとしても、企業に対する信頼はもう取り戻せません。
保険の加入はいざという時に大変力になってくれるとは思いますが、その前に、しっかりと「身の程にあった」組織の情報セキュリティを高めるようにしましょう。