また、ネットワークの停止、休止が発生した場合の利益損害を補償するオプションもある。第三者に対する賠償損害で対象となるのは、サイバー攻撃により発生した情報漏えいや取引先への業務妨害などによって顧客や取引先などの第三者に発生する経済損失である。情報漏えいによる賠償額は情報の種類や社会的影響度にもよるが、1件あたり平均1万~3万円の水準となっている。
漏えいした件数が多い場合には、集団訴訟となるケースもあり、高額な損害賠償金となる場合もある。賠償における支払限度額(補償金額)は最高10億円まで設定できる。事故対応に必要となる各種対策費用は、損害賠償事故が発生した場合に加えて、損害賠償事故が発生するおそれのある不正アクセスなどのインシデント事故が発生した場合に生じる費用が対象となる。
その費用には、専門家へ相談する費用や事故対応のために必要となる人件費、また、事故原因を調査するための費用(フォレンジック費用)などインシデント対応に必要な費用が含まれている。フォレンジック費用については、例えばPC1台あたり約150万円が相場とも言われており、影響範囲が大きいほどその調査費用も高額になる傾向がある。
各種対策費用の支払限度額(補償金額)は、個人情報漏えい事故に関しては最高5億円まで、それ以外の事故では最高1億円まで設定できる。ネットワークの停止、休止が発生した場合の利益損害で対象となるのは、自社の喪失利益や収益が減少するのを防ぐために必要となる費用である。
利益損害における支払限度額(補償金額)は最高5000万円まで設定することができる。「サイバーセキュリティ総合補償プラン」ではサイバー攻撃による損害のほか、さまざまなセキュリティ事故に関わる損害についても対象としている。賠償や費用については、従業員などによる情報の持ち出しなどの不正行為により発生する損害も対象としている。情報漏えい事故における原因の約7割は従業員などによる内部不正であり、企業のセキュリティ対策上、最も注視すべき要因となっている。
大企業におけるサイバー事故は新聞などでよく取り上げられているが、中小企業における事故の公表は一般的に少ない。ただし、中小企業においても次のようなサイバー関連の事故が実際に発生している。
顧客から情報機器の保守作業を請負ったA社がパスワードを設定することを失念し、顧客の通信回線が外部から不正アクセスされて膨大な電話料金が発生した。その結果としてA社は顧客から約600万円の損害賠償請求を受けた。IT事業を主業とする事業者にとって、サイバーリスクは生命線となる事業内容そのものがターゲットとなることから、企業存続にかかわる最も重大な脅威と位置付けられる。
また、ネットショッピングサイトを自社運営するB社は、外部から不正アクセスを受け顧客のクレジットカード情報約15万件が漏えいした。B社はコールセンター設置費用などで約3000万円の損害防止費用が発生したほか、カード会社に対してカード番号差替や不正使用被害の損害に対して約5900万円の賠償責任を負った。
このケースで、仮に1人あたり500円の見舞金を支払った場合には、さらに7500万円の費用が必要となり高額な損失となる。これらの事例からもサイバーリスクにおいては、事業者の規模の大小にかかわらず、発生する損害は高額になるケースがあることが分かる。
