米国会計検査院(GAO)のレポートによると、サイバー攻撃が頻発するようになった結果、サイバー保険の保険料が高騰しており、2021年もその傾向が続く可能性が高いという。
サイバー保険の保険料推移「米国防権限法2021」には、GAOによる米国のサイバー保険市場の調査という条項が含まれている。このためGAOは、サイバー保険契約の規定に関する業界データを分析し、サイバー攻撃のリスクやサイバー保険に関する、リサーチャーやシンクタンク、保険業界のレポートをレビューするとともに、米財務省の職員へのインタビューを実施した。
GAOによると、サイバー保険の加入数は増加しており、2016年に26%だった加入率は2020年に47%になったという。
加入率は業界によってさまざまだ。Marsh & McLennanによると、同社の顧客のうち、2016~2020年に加入率が著しく高かった業界には、個人を特定できる情報(PII)や、ヘルス関連の保護すべき情報を大量に収集、維持、使用している教育業界とヘルスケア業界が含まれている。また、同期間に加入率が急伸した業界には、決済カード情報を取り扱うことの多いホスピタリティー業界と小売業界がある。さらに業界の情報筋によると、製造業界でもサイバー攻撃がもたらす潜在的なリスクに対する意識の高まりから、加入率が著しく増加しているという。
サイバー保険の業界別加入率こういった加入率の高まりとともに、複数の保険代理店は、サイバー攻撃の頻度の増加と被害の深刻化により、保険料が上昇していると述べている。GAOは、保険代理店が最近実施した調査を引用し、その回答者のうちの半数以上が2020年後半に保険料が10~30%上昇したと答えたとしている。
GAOはレポートの中で以下のように説明した(編集部注:円換算は編集部で追記)。
ある保険代理店が語ったところによると、リスクの高い業界における売上高500万ドル(約5億4000万円)以下の企業の最低保険料は、上限100万ドル(約1億1000万円)あたり2000~3500ドル(約22万~38万円)になるという。また複数の保険代理店は、売上高が1億ドル(約11億円)未満から2億5000万ドル(約270億円)までの中規模組織を対象とする契約の保険料平均が上限100万ドルあたりおよそ5000ドル(約54万円)から、1万ドル(約109万円)以上になると述べている。保険料は、組織や業界のリスクという要因に加え、免責額やその他の自家保険の額によっても変わってくる。なお、同保険代理店によると、上限100万ドルの契約では最低保険料は1000~5000ドル(約11万~54万円)になるという。同様のリスク要因によって特定の危機的状況、例えば上限100万ドルの契約において、ソーシャルエンジニアリングによる送金指示攻撃の場合の保険金は25万ドル(約2700万円)といったかたちで、保険金の上限を引き下げる結果につながる可能性もある。
さらにサイバー攻撃により、保険会社はヘルスケア業界や教育業界といった一部の業界における保険金の上限を引き下げることにもなった。
GAOのレポートは、サイバー保険業界が複数の課題に直面していると結論付けており、具体的にはサイバー攻撃によって発生したコストに関する過去のデータの蓄積が少ない点や、サイバーテロリズムといった言葉の共通した定義がないために保険対象が不明確になりがちである点などを挙げている。サイバーリスクやリスクを緩和する上で必要な補償範囲などに関して企業の認識が十分ではない場合があるという問題もある。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
