「身代金は対象外」日本のサイバー保険が“あえて払わない”合理的な理由とは？：サイバー保険選定ガイド

2025年も大規模なサイバー被害が相次ぎ、企業にとって事後対応の重要性は一段と高まっている。こうした中で注目されるのが「サイバー保険」だ。保険選びで注目すべきは金銭的補償の大小だけではないという。本稿では、有事に真に役立つ保険の選び方を解説する。

[宮田健，キーマンズネット]

　2025年は、アサヒグループホールディングスやアスクルをはじめ、製造業や金融、医療など幅広い業種でサイバー被害が相次いだ。100億円規模の損失や、100万件単位の個人情報漏えいが報じられるなど、被害の深刻さは年々増している。

　守るべき資産の特定や防御、検知といった事前対策を講じていても、サイバー攻撃を完全に防ぐことは難しい。実際、被害に遭った企業の多くも、一定の対策は講じていた。こうした状況を受け、企業の間ではあらためてサイバー保険への関心が高まっている。では、数あるサイバー保険の中から、自社に適したメニューをどのように選べばよいのだろうか。

　東京海上日動火災保険でサイバー室専門次長を務め、東京海上ディーアール サイバーセキュリティ事業部のチーフコンサルタントでもある教学大介氏への取材によれば、「サイバー保険を選ぶ際に重要なのは、補償金額の大小ではない。利益損失や営業継続費用の補償よりも、インシデント発生時の初動対応を支える支援体制を重視すべきだ」という。また、多くの報道で紹介されるサイバー保険の事例は欧米のものが中心であり、法制度やセキュリティ体制、企業のニーズは日本とは大きく異なる点にも注意が必要だ。

　本稿では、企業がサイバー保険を選定する際に押さえるべきポイントを整理するとともに、見落とされがちだが、実は保険本体以上に重要となる支援体制や、保険以外の価値についても掘り下げていく。

サイバー攻撃の「身代金」、日本の保険がカバーしない合理的な理由

　日本におけるサイバー保険の補償内容は、保険会社ごとに大きな差はなく、図1に示すような代表的なメニューで提供されている。

図1　サイバー保険の補償内容。サイバー脅威の検知から再発防止までに企業が実行しなければならない事柄とそれに対する保険会社の支払限度額（提供：東京海上日動火災保険）

　日本のサイバー保険市場は、欧米とは異なる独自の発展を遂げてきた。その背景には、国内特有のビジネス文化やリスク意識が深く関わっている。現在も市場は発展途上であり、損害保険協会の調査によれば、企業のサイバー保険加入率は2020年時点で約7.2％だが、その後も着実に増加している。

　だが、単なる加入率の差以上に、欧米と日本の保険会社との間には根本的な考え方の違いがある。

　それがランサムウェア攻撃における「身代金」（Ransom）の扱いだ。欧米の多くの保険商品では身代金の支払いが補償対象となる一方で、日本のサイバー保険では対象外とされることが多い（図2）。実際、欧米では保険があるために身代金を支払う企業も多く、その結果、保険加入企業が攻撃者にとって格好の標的となることもある。

図2　日本のサイバー保険では、ランサムウェアなどによる身代金の支払いは補償対象外（提供：東京海上日動火災保険）

　保険による身代金の支払い補償は、攻撃者のビジネスモデルを助長し、保険加入企業を標的化する負の連鎖を生む。一方で、日本の企業は商習慣や保険の仕組み上、身代金を支払う可能性が低く、攻撃者から見れば“効率の悪いターゲット”となる。

　こうした背景があり、日本のサイバー保険は国内企業のニーズに即した設計となっている。東京海上日動火災保険の「サイバーリスク保険」では、補償は主に以下の3つの柱で構成されている（図3）。

1．損害賠償責任に関する補償
情報漏えいなどにより第三者に与えた損害についての法的賠償責任をカバーする。

2．サイバーセキュリティ事故対応費用に関する補償
原因調査、データ復旧、弁護士相談など、インシデント対応に伴う直接的な費用を補償する。

3．コンピュータシステム中断に関する補償
事業停止による逸失利益や営業継続費用をカバーする。

図3　サイバー保険の補償概要（提供：東京海上日動火災保険）

　図3のポイントは、（3）の「コンピュータシステム中断にかかる逸失利益／営業継続費用の補償」がオプション扱いになっている点だ。これには主に2つの理由がある。

　第一に、事業中断による損害は時に天文学的な金額となり、事前の予測が困難であること。第二に、日本企業の文化としては、第三者への賠償や直接的な費用を優先する傾向が強く、自社の逸失利益を保険で手当てする意識は比較的低いこと。この構造は、国内市場の現実的なニーズとリスク許容度に即した設計思想を反映していると言える。

　欧米の保険会社では、厳格なセキュリティ基準を設け、基準を満たさない企業の加入を拒否するケースも少なくない。一方で、日本市場では保険の引き受け方がより柔軟だ。

　多くの場合、保険加入時には企業のセキュリティ対策状況を評価する質問票の記入が求められる。だが、東京海上日動火災保険では、質問票は加入可否を判断する絶対的な基準ではない。むしろ、対策状況に応じて保険料の割引率を決めるためのツールとして扱われている。この仕組みにより、保険の普及を優先し、対策が未実施だからと加入を断るのではなく、対策を行えば保険料が割り引かれる形で企業のセキュリティ意識を高めることを目的としている。

　日本のサイバー保険市場はまだ発展途上であり、この段階で欧米のような厳格な基準を適用すると、多くの企業が加入資格を失い、市場の健全な成長は望めない。だが、保険の価値は単に補償内容の比較だけで測れるものではない。むしろ、平時から有事までの支援体制こそがポイントだ。

サイバー保険の価値は「補償額」だけで決めてはいけない

　従来、保険の価値は金銭的補償で測られてきた。だが、現在は企業を取り巻くサイバー攻撃の脅威が増加しており、その常識は通用しない。インシデント発生時、企業は混乱の渦中に置かれ、支払われる保険金よりも、迅速かつ的確に専門家の支援を受けられるかどうかが事業の存続を左右する。日本企業がサイバー保険を選ぶ際に最も重視すべきなのは、「有事の支援体制」の質だ。

　サイバーインシデントは突発的に発生し、多くの組織は対応経験が乏しいため、何から手を付けるべきか分からない（図4）。加えて、事業の早期再開や法令対応など、時間的プレッシャーがかかる中で、経営者は外部公表や攻撃者対応といった、通常では経験しない意思決定を迫られる。

図4　インシデント対応はなぜ大変なのか？（提供：東京海上日動火災保険）

　これは大企業であっても困難であり、専門家による伴走が不可欠だ。プレッシャーと専門知識の不足に直面すると、問題を隠蔽（いんぺい）するリスクもあり、最悪の場合は規制違反やレピュテーションリスクにつながる。

　サイバー保険の価値は、自動車保険におけるロードサービスの進化に似ている。かつては事故後の金銭補償が主目的だったが、今や事故現場に駆け付けるレッカーサービスや示談交渉サービスのように、有事の際の即時的な支援が中核的な価値となった。保険の価値はお金だけでなく、事故発生時に企業に寄り添い安心を提供することにある。東京海上日動火災保険では2022年から、こうしたサポートを保険に無料で付帯している。

　日頃から付き合いのあるシステムインテグレーター（SIer）がいる企業も多いが、それだけでは十分とは言えない。SIerはシステムの構築・運用を担う専門家であり、サイバーインシデント対応という危機管理のプロフェッショナルではない。実際、契約上も事故対応は基本的に含まれておらず、原因調査や封じ込め、法的対応や広報戦略といった複合的な危機管理は、本来の業務範囲外だ。

　この専門性のギャップを埋めるのが、支援体制を組み込んだサイバー保険の役割だ。契約文書を見直し、カバー範囲を明確にしておくことが重要だ。

　企業がサイバー保険を評価する際、最も重要なのは補償上限ではなく、インシデント発生時にどれだけ実効性のある支援を受けられるかだ。まず重要なのは専門家の支援を得て、危機の最初の1週間を乗り切ることであり、金銭的補償はその後のプロセスに過ぎない。保険会社を単なる支払い主体ではなく、危機管理のパートナーとして選ぶべきだ。

　サイバー保険の必要性は組織によって異なるが、「危機管理のパートナー」は不可欠だ。事業継続性を支える専門家による緊急対応体制が自社に十分整っているかどうかを確認し、サイバー保険をその機能の一部として活用することも選択肢の一つとして検討すべきだろう。