【コラム】当社(TMIP&S)がサイバー保険を販売する理由



 TMIプライバシー&セキュリティコンサルティング(TMIP&S)は、TMI総合法律事務所が出資するTMIベンチャーズが第1号投資案件として設立した企業だ。データの利活用サイバーセキュリティ体制構築支援セキュリティインシデント対応デジタル・フォレンジック(不正調査)などを主なサービスにしているが、保険の代理店登録もしておりメンバーは全員保険募集人資格を持つ。TMI総合法律事務所の弁護士が集まって設立された会社でなぜサイバー保険の販売まで行っているのか、TMIP&S中の人森嶋が改めて当社TMIP&S代表の※大井哲也と取締役の※寺門峻佑に聞いた。


大井哲也・・・TMIプライバシー&セキュリティコンサルティング代表。TMI総合法律事務所のパートナー弁護士でもある。

寺門峻佑・・・TMIプライバシー&セキュリティコンサルティング取締役。TMI総合法律事務所のパートナー弁護士でもある。



———TMI総合法律事務所のパートナーが保険の販売を始めたと話題になっていますが、こちらの背景を教えてください。


大井 TMIプライバシー&セキュリティコンサルティング(以下当社)は以前から保険会社に対してサイバー保険の商品設計についてのアドバイスや、サイバー攻撃を受けた企業のインシデント対応、その後のサイバーセキュリティ体制の構築支援をしてきました。そのような専門知識を多くの経験を持った当社がサイバー保険販売や保険加入に向けた周辺のコンサルティングを行うことで、より統合的なサービス提供が可能になると考えサイバー保険の販売を開始しました。


———当社がサイバー保険を販売するメリットはどこにありますか?


大井 当社は、海外の法令も含めた個人情報保護法に関する法律業務やサイバーインシデント対応、デジタル・フォレンジックの経験が豊富なメンバーで構成されています。そのため、より実践的で現実に即した保険契約の内容を顧客に提案できると考えています。また、サイバー攻撃を受けてインシデントが発生した場合も、攻撃の手口、被害状況の把握、個人情報保護委員会や警察などの行政対応、マスコミ対応など広報、その後の再発防止策の体制構築支援までワンストップで提供できることが最大の強みだと考えています。
※セキュリティインシデント有事対応を参照


———具体的にはどんなサービスを提供していますか?


寺門 当社は多くのサービスを提供していますが、今回はサイバー保険の周辺に限定してお話します。サイバーセキュリティ体制構築のためには、まず現状の情報管理体制やセキュリティ体制を把握することが非常に重要です。当社では、「健康診断」のようなサイバーセキュリティの現況を確認するためのセキュリティ体制評価サービスを提供しています。このサービスを通して、備えておくべきセキュリティ体制の足りない部分はどこなのかを可視化して、それを基に対策を強化していく。その対策強化の一環としてサイバー保険を提案しています。保険に加入するにも現状が把握できていないと無駄な保険料を支払ったり、保険でカバーしたいリスクシナリオが含まれていなかったりと、保険加入者の意図と保険契約がちぐはぐになってしまいますので、「健康診断」は必須だと考えています。


———「サイバー保険」については、どのように考えていますか?


大井 大企業の情報漏えい事案では、弁護士などの専門家起用やフォレンジック調査にかかるフォレンジック調査会社の費用、コールセンターの設置費用など、1000万円から5000万円万程度のコストが発生することが多いです。加えて情報漏えいによって被害者や被害企業に支払う損害賠償金も念頭に置かなければなりません。そうした損害を補償するのがサイバー保険であり、適切なプランを選択することで、大部分の損害をカバーすることができます。
※サイバーセキュリティ保険を参照


———サイバーインシデント事件で法的責任が認定されるの争点はどこでしょうか?


大井 一番の争点は、企業がサイバー攻撃に対して適切な防御体制を構築していたかという点です。サイバーセキュリティ体制に不備があり対策を怠って顧客情報を流出させてしまった場合は、企業のセキュリティ体制構築義務に善管注意義務、すなわち過失があったと認定される可能性があります。


———企業のサイバーセキュリティ体制の現状はいかがでしょうか?


大井 対策をしていない企業は現在でもまだまだ多いと感じています。多くの企業が初歩的なミスが原因で情報漏えい事故を起こしているのが現状です。逆に、高度なサイバー攻撃を受け、技術的に防御不可能だったという事案は少ない印象です。やはり、やるべき対策をしていない企業が攻撃を防御しきれていないと思います。


———多くの企業が十分なセキュリティ対策をしていない原因は何だと思いますか?


大井 外部の専門家を利用していない事が大きいと考えます。ただ、専門家に依頼をするにしても、依頼者側にもリテラシーがないとオーダーを出すことが難しいため、その点が外部専門家へのアクセスのハードルを高くしている原因だと思います。


———最近のサイバー攻撃の手法に傾向はありますか?


大井 みなさんも耳にしたことがあると思いますが、「ランサムウェア攻撃」が、やはり最近のハッキング攻撃のトレンドです。これは、企業のネットワークに侵入し、サーバーに格納されているデータを暗号化するという攻撃手法です。ランサムノートと言われる脅迫文を置き、暗号化されたデータの解凍と引き換えにビットコインを要求するものです。この攻撃は、データのバックアップがあれば影響を回避できるケースもあります。しかし最近では、企業のデータを抜き取った上で、身代金を支払わなければ企業から窃取したデータをネット上にばら撒くと脅迫する二重脅迫のケースも増えてきました。


———サイバーリスクの歴史を振り返っていただけますか?


大井 「サイバー」というキーワードは、約7~8年前から世の中に出始めたと感じてます。2000年代前半に多くのサービスがインターネットに移行し始め、小売りなどの実店舗がEコマースに移行していく過程で「サイバー」というキーワードが出てきたと記憶してます。さらにスマートフォンの普及によってデジタル化が加速すると、それ以降サイバー攻撃の事案が増加してきました。サイバー攻撃が増えてくるにつれ、社会全体のサイバーリスクの意識が高まってきたように感じています。


———特にサイバーリスクへの意識が高まった要因はありますか?


大井 企業は、実害が無ければリスクとして認識しないという課題があると思いますが、2014年に大企業で発生した内部者が企業内の顧客情報を外部に持ち出し、名簿屋に売却した事件は、1つの大きなきっかけだと思います。また2015年に起きた日本年金機構の事件も情報漏えいが大きなリスクになるということを認識させるのに十分なインパクトがあったと思います。


———今後のサイバー保険の重要性について教えてください。


大井 例えば、自動車保険はこれまで、交通事故などの物理的・人為的事故の損害を補償することが軸でしたが、今後はコネクテッドカーや自動運転に対するサイバーアタックによる事故や自動運転のシステム障害が原因で発生した事故を補償するように変化していくのではないかと考えています。将来的には、人為的な交通事故は限りなくゼロに近づき、システム障害やサイバー攻撃を原因とした事故しか発生しなくなる可能性もあります。そのため世の中がサイバー領域にシフトしており、当社がサイバー保険の販売を開始した理由の1つもここにあります。


———サイバーリスクをもっと意識する必要があると考えていますか?


寺門 社会全体がサイバーリスクを重視する傾向は変わらず、さらに厳格化すると思います。そのような社会的要請から大企業だけでなく中小企業もサイバーリスクを強く意識してセキュリティ対策を実行する必要があります。昔は個人情報に対する意識が低かったですが、現在は慎重に扱うことが常識になっています。サイバーセキュリティも同じ道を辿るのは既定路線ではないでしょうか。そう考えると会社の規模の大小に関わらず、サイバー保険への加入やセキュリティ体制の現状把握の健康診断とも言えるアセスメントの実施は非常に重要だと思います。