「AI対策なし」なら保険対象外か これからサイバー保険の加入条件はどうなる？

十分なガイドラインや統制が整わないままAIの活用が進む一方で、事業継続性の確保が重要な課題として浮上している。こうした動きを受け、保険業界はリスク管理体制に対する強い懸念を示している。

[David Jones，Cybersecurity Dive]

　AIツールの登場により仕事の進め方は大きく変容した。その一方で、AIを導入する組織は新たなサイバーリスクへの対応も求められている。

　サイバー犯罪の手口は年々高度化しており、重要産業に影響が及ぶケースも見られる。今、企業や政府当局は、事業継続のレジリエンス（回復力）の強化に加え、サイバーインシデントがもたらす中長期的な財務影響を見据えた管理体制の整備に力を入れている。

AI活用と安全性の溝をどう埋めるか？　PwCが指摘する現状と課題

　2026年のサイバー業界を方向付ける、5つの重要なトレンドを見ていこう。

　この1年で、AIの導入は想定以上のスピードで進んだ。AIによる変革の主導権を巡っては、米国や中国をはじめとする主要国の間で競争が強まっている。また企業も、AIを自社の収益モデルに取り込む動きを進めている。生産性の向上に加え、主力製品やサービスの競争力を高めたいという狙いがある。

　一方で、急速な導入の広がりに対し、AIを安全に運用するためのガードレール（利用制限や安全対策）やガバナンス体制が十分に整っているのかを懸念する声もある。企業データの流出や顧客情報の不正利用、サプライチェーンへの影響といったリスクへの備えが課題となっている。

　コンサルティング企業のPwCでサイバー・データ・テクノロジーリスク部門の副責任者を務めるモーガン・アダムスキー氏は、「Cybersecurity Dive」の取材に対し、次のように述べる。

　「企業がAIを導入するスピードと、それを管理するためのガバナンス体制の整備状況との間には差がある。多くの企業が業務効率化を目的にAIエージェントや生成AIを試験的に活用しているが、セキュリティ面でのルールや対策が十分でない場合もある」

　実際、企業が直面する主要なサイバーリスクとして、AI関連の問題が急速に存在感を高めている。保険事業を展開するAllianz Commercialが2026年1月に公表したレポートによると、AI関連リスクはこの1年で10位から2位へと順位を上げ、重要なビジネスリスクの一つと認識されるようになった（注1）。この調査は、3300人以上のリスク管理専門家を対象に実施されたものだ。

　こうした状況を受け、2026年には企業がAI活用に関するルール整備やセキュリティ対策の強化に、より計画的に取り組んでいくことが見込まれている（注2）。

「一律規制」から「重点対応」へ　米当局が示すセキュリティ執行の新基準

　この1年で、サイバー分野を取り巻く規制環境は変化した。バイデン政権下で進められたサイバーリスク規制と比べると、トランプ政権は監督や執行の面で、より柔軟かつ慎重な姿勢を示している。ただし、これは監督を弱めるという意味ではない。市場の役割を一定程度認めながら、必要な分野に重点を置いて対応する方向への調整と言える。

　シンクタンクのR Street Instituteでサイバーセキュリティおよび新興脅威分野のリサーチフェローを務めるハイマン・ウォン氏は、次のように話す。

　「一律に規制を緩和したり、逆に広範な規制拡大を進めたりするのではなく、変化の速い脅威環境を踏まえ、どの分野でより明確な基準や連携、執行が必要なのかを見極めようとしている」

　こうした姿勢は、電力やガス、鉄道、空港といった重要インフラ分野で特に重要となる。これらの多くは民間企業が所有・運営しており、高いサイバーリスクに直面しているためだ。

　2025年11月には、米国証券取引委員会（SEC）がSolarWindsに対する民事詐欺訴訟を取り下げる決定を下した（注3）。この訴訟は2023年に提起されたもので、2020年に明らかになったサイバー攻撃「Sunburst」に関連し、同社が把握していたサイバーリスクを投資家に十分開示していなかったとする内容だった。

　これに先立ち、連邦判事は、SECが大恐慌期に制定された法律を同社のセキュリティ対策の不備に適用するのは適切ではないとして、訴えの大半を退けている。この判断は、CISO（最高情報セキュリティ責任者）の間でも一定の評価を受けた。SECの訴訟では、同社のCISOであるティム・ブラウン氏も処分対象に含まれていたためだ。

　国際法律事務所McDermott Will & Schulteのパートナーで、かつてニューヨーク南部地区連邦検察局のComplex Frauds & Cybercrime Unitを率いたサガー・ラビ氏は、「今回の訴訟取り下げが、高度な攻撃の被害を受けた企業を一律に罰するべきではないという考え方を示すものになれば望ましい」と述べる。同時に、この決定はサイバーリスクの透明性の重要性を改めて示すものだとも指摘する。

　ラビ氏はCybersecurity Diveに対し、「今後は、Form 8-Kによる重要インシデントの報告や、年次報告書での戦略に関する追加開示など、サイバーセキュリティ関連の開示ルールの運用に重点が置かれるだろう」と語った。

　さらに、「インシデント発生前の判断をさかのぼって追及するよりも、侵害発生後、適切に情報が開示されることに、SECが力を入れていくことを期待している」と述べる。

サイバー保険の二極化　対策不足なら「保険料高騰」か「補償拒否」か

　サイバーリスクへの対応が求められるなか、保険市場はこれまでに幾度も調整局面を経験してきた。ランサムウェアの被害が長期化し、国家と関係を持つとされるハッカーの活動も増える中で、多くの企業がサイバーセキュリティ保険による十分な補償を確保することに難しさを感じている。

　近ごろは、保険会社側もサイバーリスクへの対応を強化している。2017年の大規模攻撃として知られるNotPetyaに関連し、「戦争免責条項（戦争による損害を補償対象外とする条項）」の適用を巡る裁判が行われたことで、保険の適用範囲についての考え方も徐々に整理されつつある（注4）。それでも、業界内では米国市場への依存度の高さを懸念する声や、現在の保険料水準が長期的に維持できるのかといった疑問が残っている。

　こうした状況は、サイバー保険市場の広がりを促す可能性もある。リスク分析企業のCyberCubeは2025年9月のレポートで、米国市場の契約者の多くが大企業であると指摘し、保険会社には中小企業を含む新たな層への展開が求められると提言した（注5）。また、専門保険会社のBeazleyは2025年末、引き続き米国市場を重視する姿勢を示しつつも、サイバー保険の価格が下落傾向にある点に注意を促している（注6）。

　リスクの専門家によると、補償条件を維持するために、保険会社は企業のセキュリティ対策をより詳細に確認しているという。

　Google Cloudでビジネスリスクおよび保険部門を担当するモニカ・ショクライ氏は、次のように述べる。

　「以前は、基本的なアンチウイルスソフトとファイアウォールがあれば、サイバー保険に加入できた。だが、現在では、フィッシング耐性のある多要素認証（MFA）やXDR、改ざん不可能なバックアップを導入していない場合、保険料が上がるだけでなく、補償が受けられない可能性もある」

出典：https://www.cybersecuritydive.com/news/5-cybersecurity-trends-2026/810354/（Cybersecurity Dive）
注1：AI surges among top business risk concerns, while cybersecurity holds firm（Cybersecurity Dive）
注2：Burned-out security leaders view AI as double-edged sword（Cybersecurity Dive）
注3：SEC drops civil fraud case against SolarWinds（Cybersecurity Dive）
注4：Merck reaches settlement in closely watched NotPetya insurance case（Cybersecurity Dive）
注5：Cyber insurance could greatly reduce losses from diversification, mitigation measures（Cybersecurity Dive）
注6：Trading Statement（Beazley PLC）

原文へのリンク