デジタルトラストの構築に向けたPwCのアクション：サイバーリスク管理の社会的高度化‐サイバー保険の現場から（東京海上日動火災保険）

IoT（Internet of Things）やコネクテッドデバイスなどの普及に伴い、サイバー攻撃の脅威は近年、ますます増しています。高度化・複雑化するサイバー攻撃に対しては、完全な防御を前提としない「インシデントレスポンス」や、ビジネスの視点に立脚した「レジリエンス戦略」が求められます。そのような状況で、サイバー攻撃に対する備えの選択肢として注目されているのが「サイバーリスク保険」です。日本では提供が始まって日が浅い同保険ですが、今後はセキュリティ対策の一環として需要が高まることが予測されます。「サイバーリスク保険」の内容や日本における浸透の度合い、さらにはその意義について、実際にサービスを提供する東京海上日動火災保険株式会社の企業商品業務部 部長 石原 康史氏に、PwCあらた有限責任監査法人の加藤 俊直がお話を伺いました。（文中敬称略）

※備考
本対談は2019年11月13日に開催された「PwC’s Digital Trust Forum 2019 デジタル化する社会におけるサイバーセキュリティとプライバシー」のセッションを基に再構成したものです。役職・肩書きは開催時のものとなります。

対談者

東京海上日動火災保険株式会社
企業商品業務部 部長 石原 康史氏

PwCあらた有限責任監査法人
パートナー 加藤 俊直

日本ではサイバーリスク保険の普及が遅れている

加藤：
サイバーリスク保険を取り巻く状況について教えてください。米国企業と比較すると、日本企業のサイバーリスクに対する意識は低いと指摘されています。

石原：
一般社団法人日本損害保険協会が発表した「サイバー保険に関する調査 2018」によると、回答に応じた従業員300名以上の日本企業1,113社において、サイバー保険への加入率は12％でした。また、米国のサイバー保険市場は約2,100億円規模なのに対し、日本の市場は200億円規模にとどまっています。

加藤：
日本企業には、サイバー攻撃が差し迫ったリスクであると捉えていない傾向があるのでしょうか。

石原：
1つには、サイバー攻撃に対峙する意識の違いがあります。米国企業は「自社でシステムを守る」という意識が強いですが、日本はシステムインテグレーター（SIer）などの委託先任せにしてしまい、当事者意識が薄いように思います。特に中堅・小規模企業ではリスクに対する意識が低い場合が多く、人材・コストの不足などからもその対策が遅れているのが現状です。

また、米国では個人情報漏えい時に消費者へ通知する義務があります。しかし、日本では消費者への通知や公表に関する規定がないのですね。サイバーリスクを「経営の課題」と捉えている経営者が少ないことも、要因の1つでしょう。

加藤：
経済産業省が発表した「サイバーセキュリティ経営ガイドライン」では、「セキュリティ投資は必要不可欠かつ経営者としての責務である」と言い切っています。裏を返せば日本の経営者に対し、「あなたの責任で対策をする必要がある」と自覚を促したのですね。

石原：
大規模企業であれば、ある程度のセキュリティ対策を実施しています。ただし、グループ会社やサプライチェーンへの対策は、これからの取り組みになります。一方、中堅・小規模企業のセキュリティ対策は、十分とは言えません。まずは、自社のセキュリティリスクを棚卸しし、現在のセキュリティ対策に存在する脆弱性の把握とその対応策の検討をする必要があります。

加藤：
サプライチェーンを狙った攻撃にはどのように対処すべきでしょうか。

石原：
サプライチェーンの中でも脆弱な部分を狙ってくるので、中堅・小規模企業が狙われる可能性は高いです。たった一か所の脆弱性がサプライチェーン全体に影響を及ぼし、甚大な被害を発生させ得ることを、各企業は自覚しなければなりません。

サプライチェーン全体のセキュリティ対策を強化するためには、一定レベルのセキュリティ対策基準が必要になるでしょう。さらにそのセキュリティ基準を、サプライチェーンに参加する全ての企業が満たさなければならない、という取り決めを策定する必要があります。

サプライチェーンに組み込まれている中堅・小規模企業のシステムが攻撃され、（関連する企業の）取引先に被害が及んだ場合には損害賠償責任が発生する可能性があります。そうした際に最低限のセキュリティ基準を設けていれば、その基準を軸に（企業側の）過失か否かの判定ができます。

加藤：
セキュリティに関する明確な基準があれば監査もしやすいですね。

可視化と情報開示がサイバーリスク管理向上のカギ

加藤：
最後に、東京海上日動が考える、サイバーリスク保険提供の先に目指す企業のセキュリティ対策のあり方について教えてください。

石原：
まず、私たちは2015年10月から「サイバーリスク総合支援サービス」を提供しています。これは、サイバーリスク保険に加入している顧客企業に対し、リスク診断サービスやセキュリティベンダーを紹介するものです。これは企業によっては専門事業者の情報が不十分であり、セキュリティ技術・ソリューション技術の有効性の判断が困難ということがあり、当社に情報提供を求める声が多く寄せられたため始めたものです。

また、2017年10月からは同サービスの一環として、「サイバーリスクベンチマークレポート」を提供しています。同レポートは、企業が直面しているサイバーリスクの要因を多角的に分析し、技術的リスクと攻撃者のモチベーションなどの人的リスクの指標をスコアリングしています。これにより企業は、自社のサイバーリスクを同業他社と比較したり、毎年のスコアリングの推移を定点観測することができます。

しかしながら、日本国内ではサイバーセキュリティの情報がなかなか広まらないということもあって、2020年1月末より、新たにサイバーセキュリティ情報発信サイト「Tokio Cyber Port」を開設しました。サイバーセキュリティの情報を、企業の皆さまに日常の身近なものとしていただき、企業のサイバーセキュリティ対策の一助となるとともに、技術革新の後押しをしていきたいと考えています。

企業がサイバーセキュリティに関する情報を定期的に取得できるようにし、かつ、セキュリティ対策についてステークホルダーに適切に開示していくことが、今後は非常に重要になると考えています。

加藤：
とはいえ多くの企業は、セキュリティ対策やサイバー攻撃の有無に関する情報を公表したがりません。

石原：
確かに日本では「セキュリティ対策を公言すると、犯罪者から狙われる」と考える経営者がいます。しかし、それは間違いです。グローバルでビジネスを展開するなら、自社の取り組みを国内外にアピールし、一定の情報公開をしていくべきでしよう。米国では、どのようなセキュリティ対策を講じているかをオープンにする流れに向かっています。逆に対策を公表しないと、事件が発生した際に株主などのステークホルダーから「何の対策も講じていなかったのでは」との厳しい目が向けられます。前述の小売業者のように「このレベルまで対策をしていましたが、攻撃されました」と言えば、市場は評価するのです。

今後、企業は自社のセキュリティ対策の取り組みを積極的に発信し、エビデンスとして残していく必要性が、社会からより要請されるでしょう。サイバーリスク保険への加入とその過程で行われるリスク見直しや対策は、企業のリスク管理における大きな手段の1つとなるはずです。さらに言えば、各社がそのような取り組みを当たり前のように行うようになれば、日本社会のセキュリティ水準の向上にも寄与すると信じています。サイバーリスク対策に取り組もうという機運を社会全体で高められるよう、私たちは保険という立場から貢献していきたいと思います。