サイバー保険のクレーム対応：重要な学び

サイバー業界はこの10年間で急速に拡大しました。メディアは頻繁に世界各地で発生したサイバーインシデントを報じています。同時に、サイバー保険市場も飛躍的に成長しています。にもかかわらず、クレーム担当者の多くは、サイバークレームに対応できるほど十分な専門知識がなく、明日にでも起こり得るサイバー犯罪への備えを強化するにはどうするべきか、考えることも少なくありません。多くの場合、プロの担当者はサイバークレームのに対応することを躊躇します。補償範囲が困難で予測不可能であることが理由です。しかし、サイバークレームの損失の性質を理解できれば、サイバー保険のクレームに備えることができます。これは技術的な背景知識がなくても可能です。

一般に、サイバー保険契約は初期対応、ファーストパーティーの損失、サードパーティーの損失から構成されます。これらの要素はサイバー保険に限りませんが、従来型（財物保険、一般的な賠償責任保険など）とは多くの点で異なります。サイバー保険のクレームへの対応は、損害の性質、そして専門知識や経験が求められる点で、従来の業務と異なります。例えば、火災被害に対する従来の物損保険契約では、保険契約者への確認で、どの家財が燃えてしまったか、それらはすすや水の被害を受けたかなどを見極めます。こうした情報は、損害を理解し、クレーム対応へのアクションプランを策定するために必要です。一方、サイバー保険のクレームでは、保険契約がサイバークレームをカバーしていたとしても、損害の程度や損失の原因を突き止めることが困難なおそれがあります。こうした情報が得られない場合は、クレームに対応するうえで特に慎重な検討が必要になります。

こうした問題への答えを探す第一歩として、サイバー保険における損害の性質を理解しなければなりません。従来型保険で一般的に補償範囲になる損失とは、有形資産に対する物損と、人的傷害です。一方、サイバー保険では、多くの場合にデータの機密性、可用性、整合性が関わります。この違いを理解することが、こうした損害を受けた保険契約者を事実に照らして特定する第一歩となります。

従来の業務と異なり、サイバー攻撃ではリスク範囲が広く緊急性も高いため、次のような独自の特徴があります。

• 厳格な物理的境界線がない：グローバルな接続性があることと、ＩＴネットワークの性質から、企業は世界規模でリスクにさらされます。
• 直接的な金銭的損害を超える：サイバー攻撃によって、企業や組織は事業の継続が不可能になり、データの整合性が損なわれ、全体的な機密性が失われます。
• 侵害前サービス：エンドカスタマーは、リスク軽減措置として、より強力なＩＴセキュリティのフレームワークを構築し、社内にサイバーセキュリティの専門家を置く必要があるでしょう。
• 事故対応プロトコル：根本原因を迅速に特定し、インシデントに関する事実を適時に提供し、オペレーションが受ける影響を正確に特定できる、プロアクティブなサイバーセキュリティリスク管理を構築する必要があります。
• プロアクティブなクレーム管理：インシデントの迅速な解決と事業オペレーションの早急な復旧に向けた、対応および保険契約者との積極的な協議。
• 変動の多い状況：サイバー攻撃が進化するスピードを考慮すると、クレームトレンドの更新は従来型よりもはるかに早く行わなければなりません。
• 即時性：サイバーインシデント、その原因、損害範囲の測定は、従来ほど容易ではありません。サイバー保険のクレームは通常、写真や現場調査によって確定することができません。

サイバーインシデントは、調達、在庫管理、製造、販売、ロジスティクス、事業戦略、社内コミュニケーション、研究開発などのあらゆる側面から事業の運営を妨げます。また、物理的な所在地にかかわらず、複数の事業所で活動が停止するおそれもあります。複数の国で事業所が被害を受けた場合は特に困難です。サイバーインシデントによる事業中断がもたらした損失のクレームは、かなりの規模になり得ます。初期段階で損失を抑えることが極めて重要です。

多くの場合、サイバー保険のクレームにおいて、ビジネスの中断（BI）による損失は、その組織の市場シェアに影響するだけでなく、評判にも影響をもたらします。このため。保険契約者の事業に対する潜在的な影響に注意を払い、BI損失を軽減する最善の方策を考えることが極めて重要です。さらに、サイバーインシデントによるBI損失の性質は、従来よりもはるかに複雑です。たとえ、BI損失の定義が従来の財産保険やサイバー保険の保険契約と似通っているとしてもです。このため、保険会社がBI損失の通知を受けたら、信頼できるアカウントの保持を即座に実行する必要があります。その後のクレーム処理は、サイバーインシデントによるBI損失と従来型のBI損失の主な違いを念頭に行うことが必要です。

製造業者の資産におけるBI損失に対応する場合、製造ラインが大きな被害を受けていても、在庫を消費することで損失を軽減できる場合があります。ただし、多くのサイバーインシデントでは、在庫、販売、ロジスティクスをつかさどるシステムが使用不可能になると、保険契約者ができることは限られてしまいます。

通常、補償される損失は、サイバーインシデントに起因する直接的な損失に限られます。サイバーインシデントは保険契約者の事業やオペレーションのさまざまな側面に、小規模なものも含み、影響を及ぼすおそれがあります。例えば、Eメールサーバーがダウンし、営業部門がクライアントと連絡できなくなれば、潜在的な販売機会が影響を受けます。さまざまな中断が多く発生することによって、保険契約者は既存または見込み顧客を失い、さらには否定的な報道をされます。残念ながら、このような出来事はサイバーインシデントによる直接的損失と見なされません。このため、サイバーインシデントの補償範囲を決定する際は、何が直接的な損失であるかをクライアントに事前に伝えることが重要です。

ランサムウェアによる攻撃は、マルウェア対策において目新しいものではありません。これまでの多くの犯人は、ランサムウェアを無作為にPCに送りつけ、場合によっては数百ドルを要求しました。しかし、最近では、より洗練された犯罪者らが、入念に選択した標的を対象とし、企業や組織から何百万ドルも脅し取ることを目指すAPT攻撃を始めています。

このように増え続ける大規模な損害に対応するため、サイバー保険契約の一部は現在、恐喝による損失を補償していますが、多くの課題が残っています。例えば、恐喝による損失を補償する契約は、サイバー犯罪を助長するとの声もあります。また、そうした支払いが禁じられている国や地域もあります。そのため、保険契約者は支払い前に制裁リストを注意深く確認しなければならず、また、恐喝犯罪に金銭を支払うことの肯定的な面と否定的な面を徹底的に評価する必要があります。

一般に、クレーム対応の担当者は、あらゆる支払いの合法性、支払いの理由、支払いの経済的合理性、身代金支払いに関する国内法、金額の妥当性を厳格に評価しなければなりません。最後に、恐喝に関する補償では、身代金の支払いに加えて専門家を保持する費用も含まれます。保険契約者が身代金の支払いを希望するかどうかにかかわらず、保険契約者が犯罪者側とやりとりをする場合は必ず、十分な経験を有した専門家を置くべきです。専門家は、最初の安全措置として、犯人の能力、引き起こし得る損失の範囲、それを実施する全体的な戦略の特定を目的とする必要があります。これは、身代金の支払いを検討すべきかどうかを決める上でも役立つことが少なくありません。

サイバー保険世界のクレームは、従来よりも極めて迅速です。サイバーインシデントの犯人は、組織から金銭を巻き上げる新しい手法を開発しています。ITセキュリティのベンダーは技術のアップデートを急ぎ、政府はデータ保護とデータセキュリティに関する規制の更新を急ぐべきでしょう。気付いていることが鍵になります。ミュンヘン再保険では、このような分野の知識のリーダーであり、ニュースレター、ウェビナー、幅広い専門家による手作りのコンサルティングを通じて、サイバー関連のトレンドをお知らせしています。

従来型保険とサイバー保険には多くの違いがありますが、サイバー保険クレームの性質を理解することで、不透明性は大幅に軽減することができます。

サイバーインシデントにおける損失の一般的な性質を理解し、信頼できる専門家ネットワークを保持して、サイバー脅威の周辺で起きている変化を学び続ければ、サイバー保険クレームは対応可能になるでしょう。ミュンヘン再保険は、こうした分野でお客様をサポートする準備ができています。