戦争に関連するサイバー攻撃 保険は下りるのか

金銭を目的としたランサムウェア攻撃だけでなく、政治的な意図を持ったサイバー攻撃も盛んになっている。戦争に関連するサイバー攻撃を受けたとき、保険は下りるのだろうか。

[David Jones，Cybersecurity Dive]

　製薬大手のMerck（メルク）は、ランサムウェア「NotPetya」の攻撃を受け、感染したウクライナの会計ソフトウェアのダウンロードを介して、4万台以上のコンピュータが被害を受けた。これにより同社の販売や製造、研究開発を含む業務に大きな混乱が起きた。

保険金は下りるのか

　同社は「オールリスク」損害保険契約などを保険会社と結んでいた。だが、保険会社はこれを戦争に関連するサイバー攻撃だと捉えた。保険金はどうなるのだろうか。

　Merckはサイバー攻撃に起因して14億ドルを保険会社に請求していた。このうち、オールリスク損害保険契約に基づく約7億ドルの請求の係争が続いていた。ニュージャージー州の控訴裁判所は2023年5月に、保険会社は戦争免責条項にのっとって補償を拒否することはできないとの判決を下した（注1）。

　その後も法廷闘争が続いていたものの、2024年1月3日に裁判所に提出された書類を引用して、Bloomberg Lawが報じたところによると（注2）、Merckは口頭弁論の直前に保険会社と合意に達したという。和解の条件は明らかにされていない。

保険契約における戦争免責条項に注目が集まる

　ロシアのウクライナ侵攻や、最近ではイスラエルとハマスの大規模な紛争など、世界中でさまざまな「戦争」が起こっている。これに関連した国家や犯罪者によるランサムウェアの事例も急増している。そのため、Merckの事例は保険業界やサイバーセキュリティの専門家の強い関心を呼び、調査が進んだ。

　ウクライナや米国の（電力やガス、鉄道、空港などの）重要インフラプロバイダーに対する悪意ある攻撃は、財務に取り返しの付かない影響をもたらすだろう。

　信用格付け機関のAM Bestのスリダール・マニェム氏（業界研究および分析を担当するシニアディレクター）は、次のように述べた。

　「保険の戦争免責条項は最近注目されている。これはNotPetya事件のみならず、国家主体の潜在的な攻撃やサイバー戦争によって、壊滅的損害が拡大するだろうという共通認識があるからだ。Merckが和解したことにかかわらず、この議論は今後も続くだろう。保険会社によっては、リスクを限定するために戦争免責条項を使うかもしれないし、保守的な限度額で補償を提供する好機と考えるかもしれない」

　米国損害保険協会（APCIA）の法務部門に所属するクレア・ハワード氏（シニアバイスプレジデント兼法律顧問）は、次のように述べた。

　「サイバーリスクは依然として保険会社や保険業界にとって最大のグローバルリスクの一つだ。保険会社は、『平時または戦時における敵対的または戦争的な行為』によって生じた損害に対して、保険契約の免責規定を適切に適用することで、集合的リスクと保険不可リスク（注3）から自社を守っている。保険市場がサイバーリスクを引き受け、保険契約者がこれらの攻撃から身を守り、回復力を構築するためには、この免責条項が不可欠だ」

　Merck以外にも参考になる事例がある。スナック食品を製造する大手企業のMondelēz International（モンデリーズ）は、2022年にNotPetyaを用いた攻撃に関連する1億ドル以上の請求を含む訴訟で和解している（注4）。

出典：Merck reaches settlement in closely watched NotPetya insurance case（Cybersecurity Dive）
注1：Merck cyber coverage upheld in NotPetya decision, seen as victory for policyholders（Cybersecurity Dive）
注2：Merck $1.4 Billion Cyberhack Settlement Ends ‘Warlike’ Act Claim（Bloomberg Law）
注3：集合的リスクとは、大規模なグループやポートフォリオ全体に影響を及ぼす自然災害などのリスクを言う。保険不可リスクは、保険会社が保護できないリスクであり、違法行為の他、予測が不可能または受け入れられないほど高いリスクを指す。
注4：Mondelē​​z settlement in NotPetya case renews concerns about cyber insurance coverage（Cybersecurity Dive）