{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
はじめに
デジタル技術の発展に伴い、企業に対するサイバー攻撃が急増しています。また、サイバー攻撃の手法も多様化、巧妙化しています。さらに、甚大な被害をもたらすシステミックリスクインシデントやサイバーインシデントへの懸念も高まっている状況です。
このような背景の下、サイバーリスクの正確な評価はますます難しくなっています。そのためサイバー保険の領域においても、元受保険事業者や再保険事業者はその補償範囲や、提供価格の見直しを余儀なくされています。結果としてサイバー保険の需給バランスが崩れてしまい、企業の適正なサイバー保険の選択や、有効なリスクファイナンスの実施が困難になっているのです。
サイバーセキュリティ対策の強化、サプライチェーンリスク管理、インシデント報告などを義務付ける法令への準拠といった高水準のサイバーセキュリティ対策の実施は、サイバー保険の加入価格を下げることにつながり、保険の効果も高めることができます。また、精度の高いサイバーリスク評価手法の導入はサイバー保険市場のリバランスにも寄与し、社会インフラや企業のサイバーレジリエンスの向上を促進するでしょう。
こうした傾向は海外でも同様です。各国はシステミックサイバー被害や壊滅的サイバー被害から保険市場を守り、企業がサイバー保険を有効に利用できるようにするため、国家によるリスク軽減を伴うバックストップ型の再保険制度の構築についての検討を進めています。
1. サイバー被害が企業財政に与える影響
サイバー被害による損失額の増大化
デジタル技術の発展に伴い、企業に対するサイバー攻撃は急増しています。攻撃の手法も多様化、巧妙化が見られます。例えば国家支援の下、長期間にわたって特定の組織を目標に攻撃を仕掛けるAPT(Advanced Persistent Threat)や、身代金など金銭目的のランサムウェア攻撃、また政治的立場に基づくハクティビズムなどさまざまな手法があります。
近年サイバー被害は拡大しており、日本企業でも多くの被害が生じています。PwCが毎年グローバルで行っている調査「Digital Trust Insights Survey」の2026年度の調査結果では、回答した日本企業121社の8%が、過去の3年間においてサイバー攻撃により1,000万米ドル(14億円強、執筆時点の為替レート換算)以上の損害に遭ったとしています(図表1)。
図表1:過去3年間の日本企業におけるサイバー被害額と割合
サイバー被害による事業停止・倒産リスク
サイバー被害によって破産再生申し立てに追い込まれる事例も見受けられます。特に企業の財務基盤が脆弱な時期にサイバー攻撃に遭った場合はこうしたリスクが高まるため、注意が必要ですます。
サイバー被害が破産再生申し立てにつながった事例を確認すると、次のような特徴が見られました(図表2)。
- 新型コロナウイルスによるパンデミックを経て、財務基盤が非常に脆弱になった時にサイバー被害に遭った
- 他社のサイバーインシデントに巻き込まれて被害を受けた(サプライチェーンにおけるシステミックリスク)
- 制裁や罰金など法的措置の後、サイバー被害に遭った
- サイバー攻撃による会計システムの被害の回復が困難と判断した投資家が買収を断念した
上記以外に、当局の介入や調査などの複雑で長期間に及ぶ対応も、資金繰りに影響を及ぼしていました。
図表2:サイバー被害を破産再生申し立ての理由とした事例における主な特徴
2. リスクファイナンスとサイバーレジリエンスの向上
リスクファイナンスとサイバー保険
企業はリスクを軽減・予防し、サイバーレジリエンスを高めるためにセキュリティ対策を強化する他、リスクファイナンスのあり方を検討する必要があります(図表3)。リスクファイナンスについては、サイバー被害が発生した際に自己資金で対応する場合の引き当てと、許容できないサイバーリスクを想定し、サイバー被害が発生した際にリスク移転のためのサイバー保険が考えられます。
サイバー保険はサイバー攻撃による損害、サイバーセキュリティ、データ保護規制強化による訴訟リスク、デジタル製品の製造物責任リスクなどによる損失リスクなどを対象とし、サイバーリスクへの対応策としてその需要が高まっています。
図表3:サイバーレジリエンス強化に寄与するリスクファイナンス
サイバー保険の需要と供給の乖離
一方、サイバーリスクの評価の難しさがサイバー保険の補償範囲を狭め、保険価格を押し上げる状況を招いています。その結果、企業はサイバー保険に加入しづらくなることから、需要と供給の乖離につながります。特に、サイバー攻撃に起因するシステミックなインシデント、壊滅的インシデントは被害規模が大きいことから、元受保険事業者、再保険事業者ともにその引き受けについて慎重になってきています。
また、以下の要因がサイバー保険加入時における適正なサイバーリスクの評価を困難にしていると考えられます(図表4)。
- 自然災害と比較して歴史が浅く、変動の激しいサイバーリスクについて適切に評価するための統計データの形成が難しい
- 攻撃技術の急速な発展によるサイバー攻撃の多様化、巧妙化に加えて、被害情報の未開示などから被害評価の見積もり、発生確率の算定が困難である
- 被害範囲が広く、損害額が巨大なインシデントに遭う懸念がある
図表4:サイバー保険の需要と供給の乖離をもたらす主な原因
3. サイバー保険の普及に向けて
高精度サイバーリスク評価手法構築の必要性
サイバーリスクをより正確に評価することを目指し、シナリオ分析、スコアリング、疑似攻撃、ペネトレーションテスト、脅威インテリジェンスベースのリスク評価など、多くの評価手法が試されてきました。精度の高いサイバーリスク評価手法は、サイバー保険の需要と供給のリバランスにも寄与することから、その精度向上は、サイバー保険の普及にとって非常に重要です。
サイバー保険に関する各国の政策的動向
海外各国でもサイバー保険の普及を促進するため、需要と供給の乖離を解消し、元受保険事業者と再保険事業者をバックアップする政策制定に向けた動きが盛んです。例えば、米国、英国、欧州では、システミックサイバー被害や壊滅的サイバー被害について、既存のテロ対策保険(TRIP)への組み入れや、特定業界で既存の再保険プール(Reinsurance Pool)類似制度の導入など、サイバー再保険事業者の引き受けを促すようなバックアップ制度の構築を積極的に検討しています。中国ではサイバー保険への加入に対して補助金や減税策を打ち出しています。
国家バックアップ型によるサイバー再保険制度は、サイバー保険の健全な発展、ひいてはシステミックサイバー被害、壊滅的サイバー被害対策として有効であり、社会インフラや、中小を含む企業のサイバーレジリエンス向上を促進する政策となり得ます。
米国の政策動向
米国会計検査院(GAO)は2021年の大規模なランサムウェア攻撃に関してシステミック、壊滅的サイバー被害と位置づけ、財務省連邦保険局(FIO)とサイバーセキュリティー・インフラセキュリティー庁(CISA)に連邦政府による保険対応の必要性の評価を要請しました1。この要請を受けて、米国財務省は2022年に連邦政府によるサイバー保険対応の可否について意見募集を開始し2、継続的に評価活動を実施しています。また、2023年にバイデン政権は国家サイバーセキュリティ戦略において、国家バックストップ型サイバー保険について言及しました3(図表5)。
直近でも、米国政策系シンクタンクは連邦政府による国家バックストップ型サイバー保険制度の構築を提言しています。
英国の政策動向
2023年12月、英国議会両院共同委員会である国家安全戦略共同委員会が、ランサムウェアと国家安全に関する「A hostage to fortune: ransomware and UK national security」を公開しました4。報告書では、政府はテロ対策再保険であるPool Reや、洪水対策再保険であるFlood Reを参考に、大規模サイバー攻撃に対する再保険制度を構築し、サイバー保険市場の持続性、利活用しやすさを確保すべきだと提言しています。
一方、サイバーセキュリティ認証を取得した場合にサイバー保険が付帯するCyber Essentialsという既存の制度があります5。保険の補償範囲は、賠償責任、インシデント対応のための各種費用、恐喝の脅威、法的リスク費用、事業中断、ネットワーク中断などであり、補償限度額は25,000ポンドとなっています。有効期間は認証の有効期限と同様に12カ月間で、更新制です。なおCyber Essentialsのサイバー保険の場合は、システミックリスクに対応できない可能性があります。
欧州の政策動向
欧州では、欧州委員会の傘下にある欧州サイバーセキュリティ庁(ENISA)が2023年2月と2024年2月にそれぞれ「Demand Side of Cyber Insurance in the EU6」、「Cyber Insurance - Models and Methods and The Use of AI7」を公開し、システミック、壊滅的サイバー被害に対応するサイバー保険について国家支援制度や官民のパートナーシップ体制の必要性に言及しています。
また、金融分野では金融システミックリスク監視委員会(ESRB)が、2022年1月の「Mitigating systemic cyber risk8」において欧州レベルでシステミック、壊滅的サイバーリスクに特化した軽減策を開発・実施する必要を主張しました。
さらに、欧州リスクマネジメント協議会(FERMA)は、2020年5月に欧州委員会に対して、システミック、壊滅的サイバー被害の対応について官民パートナーシップ体制の構築を提言する書簡「Resilience framework for catastrophe risks9」を送付しています。さらに2023年6月には複数の保険事業者と共同で、民間保険市場のみでは対応できないサイバーリスクにおける対応策で欧州が世界的なリーダーとなる可能性を提言する「Cyber insurance dialogue – How Europe can lead the way to cyber resilience10」を公開しました。
欧州の国家バックストップ型サイバー再保険政策動向の全体像は以下図表6のとおりです。
図表5:欧州の国家バックストップ型サイバー再保険政策動向
中国の政策動向
中国では2023年7月に、サイバー保険加入に対する補助金、減税優遇措置の実施などサイバー保険制度の構築およびサイバー保険ライフサイクルに応じた標準の制定、サイバー保険・サービスのイノベーションや多様性の促進、サイバーセキュリティ技術の向上によるサイバー保険発展のサポート、サイバー保険需要の拡大、優良なサイバー保険事業者、サイバー保険サービスの育成などを内容とする「サイバー保険の健全な発展を促進する意見11」が公表されました。意見は5つの内容から構成されており、内容は以下図表7のとおりです。
図表6:中国のサイバー保険に関する政策動向
まとめ
サイバー被害が増加する中、サイバーリスクに対する正確な評価がますます難しくなり、サイバー保険の需要と供給が乖離し、企業の適正なサイバー保険の選択や有効なリスクファイナンスの実施が困難な状況です。一方でサイバーセキュリティ対策の強化、サプライチェーンリスク管理、インシデント報告などを義務付ける各国の法令への準拠はサイバー保険加入に有利となります。また、精度の高いサイバーリスク評価手法の導入はサイバー保険市場のリバランスに寄与し、社会インフラや企業のサイバーレジリエンスの向上を促進するでしょう。
システミックサイバー被害や壊滅的サイバー被害から保険市場を守り、企業がサイバー保険を有効に利用できるように、各国は国家バックストップ型の再保険制度の構築について積極的に検討を行っています。企業は日々脅威が増すサイバー攻撃への対策において、日本および世界各国のこうした動向に注目し、効果的な対応を進めることが求められます。
1 ‘Cyber Insurance: Action Needed to Assess Potential Federal Response to Catastrophic Attacks’ https://www.gao.gov/products/gao-22-104256, 2025年9月18日閲覧
2 ‘Potential Federal Insurance Response to Catastrophic Cyber Incidents’ https://www.federalregister.gov/documents/2022/09/29/2022-21133/potential-federal-insurance-response-to-catastrophic-cyber-incidents, 2025年9月18日閲覧
3 「国家サイバーセキュリティ戦略2023」 https://bidenwhitehouse.archives.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf, 2025年9月18日閲覧
4 ‘A hostage to fortune: ransomware and UK national security’ https://committees.parliament.uk/committee/111/national-security-strategy-joint-committee/news/198995/a-hostage-to-fortune-ransomware-and-uk-national-security/, 2025年9月18日閲覧
5 ‘Cyber Essentials’ https://www.gov.uk/government/publications/cyber-essentials-scheme-overview, 2025年9月18日閲覧
6 ‘Demand Side of Cyber Insurance in the EU’ https://www.enisa.europa.eu/publications/demand-side-of-cyber-insurance-in-the-eu, 2025年9月18日閲覧
7 ‘Cyber Insurance - Models and Methods and The Use of AI’ https://www.enisa.europa.eu/publications/cyber-insurance-models-and-methods-and-the-use-of-ai, 2025年9月18日閲覧
8 ‘Mitigating systemic cyber risk’ https://www.esrb.europa.eu/pub/pdf/reports/esrb.SystemiCyberRisk.220127~b6655fa027.en.pdf, 2025年9月18日閲覧
9 ‘Resilience framework for catastrophe risks’ https://ferma.eu/ferma-calls-for-eu-resilience-framework-for-catastrophic-risks/,2025年9月18日閲覧
10 ‘Cyber insurance dialogue – How Europe can lead the way to cyber resilience’ https://ferma.eu/publications/cyber-insurance-dialogue-how-europe-can-lead-the-way-to-cyber-resilience/, 2025年9月18日閲覧
11 「サイバー保険の健全な発展を促進する意見」 https://www.gov.cn/zhengce/zhengceku/202307/content_6892557.htm, 2025年9月18日閲覧
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
