アジア太平洋地域でのサイバー規制の発展

近年、特にアジア太平洋地域で、サイバー規制が脚光を浴びています。この地域の多くの市場で注目を集めるのは、主に、サイバーレジリエンスの向上、消費者データ保護の改善、データ漏洩があった場合の通知義務の導入などです。規制の増加に伴い、サイバーインシデントや違反があった場合の罰金も高額になり、サイバー攻撃にあう企業の潜在的な損失の増加につながっています。 

これらの規制の発展とエクスポージャーの増大の結果として、弊社は、データ漏洩、保険可能な場合に限定した法的罰金への補償、事業中断を通常含む、包括的なソリューションを持つサイバー保険需要の普及を見込んでいます。以下、アジア太平洋地域の変化する規制と、それがサイバーリスクの測定・管理に注目する保険会社や企業に及ぼす影響についてまとめています。 

主要な現行の規定と兆候

• 2019年の個人データ保護法案（データ保護要件の増加を提案した2018年法案の改正）が現在国会で検討されています。GDPRをモデルにしたこの新法では、自分の個人情報についての個人の権利を含む、個人データの管理方法のガイドライン策定が予想されています。また法案には、インドの独立したデータ保護機関の設立も含まれています。  
• 2018 年の提案と比べて、2019 年の改正で見られる主要な変更点は以下の通りです：
  • 特定の行為に対する刑罰の軽減、
  • データのローカライゼーション／転送の要求範囲の縮小、
  • 法案は匿名化データに対処しており、必要に応じて政府機関がそのようなデータへのアクセスを要求できます。
• 全体として、弊社はこの強化された法案の実施により、基本的に次のような影響があると見込んでいます（特に注目すべき点として）：
  • データ収集時点で同意をとる要件、および消費者がその同意を取り消す権利
  • 最終的に施行された法律に違反すると、違反企業の全世界での売上高の最大4% または１億5,000万インドルピーのいずれか高い方を支払う結果につながる
  • 企業が順守すべき全体的なデータ保護要件の厳格化
• この法律は、法律が通過する際に最終決定される若干の例外はあるものの、インドで事業を行う大部分の企業に適用されると予想されます。  

サイバー保険市場にとっての意味

• データ保護に対する規制の監視とプライバシー法の増大により、一般的なプライバシーの順守およびサイバーセキュリティへの向上に対する注目度と取り組みが高まることは必至でしょう。
• これは、リスク意識とサイバー保険などのソリューションの需要が高まることにつながるはずです。

主要な現行の規定と兆候

• 旧来の個人情報保護法の改正となる新法案が導入されました。これにより、データ漏洩があった場合の漏洩の通知義務が導入されます。新法案はまた、個人情報を収集する際に、同意を要するなどのコンプライアンス要件を課すと見られています。改正案は、法人が個人情報保護委員会の命令に違反した場合の罰金刑を最高１億円に引き上げることを提案しています。
• 日本での仮想通貨の法的枠組みを改正する資金決済法および金融商品取引法の改正は、2020年5月1日に施行されました。新改正法は良いバランスをとっています。日本の暗号資産の所有者をより一層保護すると約束していますが、交換業者に対しては、基本的なサイバーセキュリティ管理の要求を含む、非常に明確な規定が盛り込まれています。 

サイバー保険市場にとっての意味

• 通知義務の導入により、特に、大量の個人を特定できる情報を処理／保存している業界（医療、リテール、データ処理など）において、データ漏洩にあった企業の損失コスト（通知書作成のための弁護士費用を含む通知のための費用など）が上昇するでしょう。  これは影響を受ける消費者の意識を高め、データ漏洩から発する賠償金請求の潜在的な増加につながります。 
• 新しいコンプライアンス要件の結果としての、規制のエクスポージャーの増大。日本では罰金刑に保険を掛けることができませんが、この法律は当事者監査と規制当局への報告コストに関するエクスポージャーを増大させる可能性があります。これについては保険を掛けることができます。
• 説明したリスクの増大により、企業は漏洩があった場合に対する備えとそれに関連する潜在的コストの検討を進め、以後サイバー保険の需要が増えることでしょう。 

主要な現行の規定と兆候

• 2020年1月1日をもって、該当する企業に対する強制サイバー保険を含む、ネットワーク法準拠への猶予期間が満了しました。一般的に、個人データを扱う企業はネットワーク法の適用を受け、第三者へのデータ漏洩に対する保険担保が必要です。
• 2020年1月、個人情報保護法が改正され、個人データの概念（個人データ、偽名化データ、匿名化データの区別を含む）と、このようなデータの取り扱い／処理の許容範囲が明確化されました。より明確な枠組みを持つことで、企業はデータ管理方法をよりよく検討することができ、必要に応じてリスクマネジメントのプロセス／フレームワークに投資することも可能になります。

サイバー保険市場にとっての意味

• サイバー保険の需要は増大が期待されていました。しかし、規制法の実施がまだ早期段階であることと市場の認知度が比較的低いことから、保険業界の期待に普及が追いついていません。 
• 最近、国務総理室下の中央機関である個人情報保護委員会に与えられたデータ保護の監督責任の統合がありました。これにより個人情報保護委員会は、中央データプライバシー規制機関の一部となりました。この変更により、個人情報保護委員会に政府がより注力し、より多くの権限が与えられたため、データプライバシーに関してより積極的な権限行使が予想されます。

主要な現行の規定と兆候

• シンガポール: 個人データの不正開示防止のための個人情報保護委員会(PDPC)の施行。2020年 PDPC改正案 (確認中): 
  • 罰金は最低100万シンガポールドルまたは売上高の10％ 
  • PDPCに3日以内に通知、影響を受ける個人にも通知
  • 組織はデータ漏洩の疑いがある場合アセスメントを実施しなければならない 
• タイ: 2020年3月末に猶予期間が終わり、新しい規制(PDPA) とサイバーセキュリティ法に移行するはずでしたが、コロナ禍により政府は施行を最大1年延期。GDPRと同様、72時間の通知期間、罰金も同じ。

サイバー保険市場にとっての意味

• （時間制限のある）通知義務の導入により、データ漏洩にあった企業の損失コストは増大するでしょう。
• 漏洩があった場合の罰金の増額および規定 (シンガポール、タイ) 
• データ保護に対する規制の監視とプライバシー法の増大(シンガポール／タイ)により、一般的なプライバシーの順守およびサイバーセキュリティへの向上に対する注目度と取り組みが高まることは必至でしょう。 

主要な現行の規定と兆候

• 新セキュリティ法が国家レベルのサイバーセキュリティ基準(Multi-level Protection Scheme “MLPS 2.0”)を導入。これは旧来のMLPS 1.0の改正になります。以前は重要なインフラのみにもっと集中していましたが、現在は ネットワークを運営するすべての企業を網羅しています（これは広い定義を持っており、データを処理／送信するすべての接続されたコンピューターに及びます）。 
  • このスキームには、業界の秘密度と企業が扱う情報のタイプに基づく、5つの主なレベルの最低セキュリティ要件があります。当然ながら各レベルでアセスメント要件は異なり、レベル1では自己アセスメントしか要求されませんが、それ以上のレベルでは第三者のアセッサーが要求されます。 
  • 罰金は重要なデータが漏洩した場合には最高で100万人民元に上ります。 
  • これは中国本土で事業を運営するすべての企業に適用されます。

サイバー保険市場にとっての意味

• 中国では罰金刑に保険を掛けることができない一方で、この法律は当事者監査と規制当局への報告コストに関するエクスポージャーを増大させる可能性があります。これについては保険を掛けることができます。
• 最低限のセキュリティに対する規制の監視の増大により、一般的なサイバーセキュリティレジリエンスの向上に対する注目度と取り組みが高まることは必至でしょう。
• これは、リスク意識とサイバー保険などのソリューションの需要が高まることにつながるはずです。 

主要な現行の規定と兆候

• オーストラリアプライバシー法の改正法案が 2020年の国会に提出される可能性があります。提案されている変更は次の点を含んでいます: 
  • プライバシー法違反に対する罰金の増額
  • 個人情報の定義を拡大し、技術的詳細やオンライン識別子（IPアドレス、デバイス識別子、位置情報など）を含める
  • 同意通知の変更 ― 平易な英語で書かれ、 簡潔かつ透明で容易にアクセスできる通知であること
  • オーストラリアプライバシー原則 (APPs) の対象となる法人に対して、当人のプライバシーの干渉を理由に個人が訴訟や集団訴訟を起こす直接の権利を認める 
  • 子供たちのような弱いグループに主眼を置いた、デジタルプラットフォーム（特にソーシャルメディア）を対象とした新しいプライバシー実施規則 
• 政府はまた、プライバシー法の全体的な見直しを2021年に行い、消費者による情報抹消の権利を検討することを表明しています。

サイバー保険市場にとっての意味

• 既存のプライバシーの枠組みとオーストラリア情報委員会 (OAIC) の権限の強化により、サイバーインシデントに対する企業のレジリエンスおよび検出・対応・回復の能力が、確実に脅威に応じたものとなるよう、企業にさらなる圧力がかかるでしょう。  
• 規制当局の監視によるダウンサイドリスクの増大と罰金の増額により、企業では、IT セキュリティ、サイバー保護レベル、さらに保険支出に至るまでのこれまでの予算を見直そうという機運が高まるかもしれません。
• 既存のサイバーポートフォリオについては、これらの厄介な法律が、当事者の損失コストをつり上げ、第三者責任訴訟へのハードルを下げることにつながる可能性があります。

主要な現行の規定と兆候

• ニュージーランド・プライバシー法2020が2020年12月1日に施行予定。主な変更点は以下の通り:
  • 個人に「深刻な損害」をもたらす危険があるデータ漏洩の通知義務
  • 違反に対する罰金と個人が自分のデータにアクセスできるよう企業に強制することを含む、プライバシー・コミッショナーの権限の向上
  • ニュージーランド企業に対する要求として、データを共有している海外企業が、同様のレベルのプライバシー保護を実施していることを確実にすること
  • プライバシー漏洩を報告しなかった場合、またはプライバシー・コミッショナーの活動を妨害した場合には刑事事件となること
  • 新法は、ニュージーランドで事業を行う企業に適用され、これには物理的にニュージーランドに存在していない企業も含まれる

サイバー保険市場にとっての意味

• 他の地域に比べ、ニュージーランドでのプライバシー漏洩に対する罰金の最高額は低い水準 (10,000 NZドル)を保っていますが、通知義務の導入により、企業は漏洩があった場合に対する備えとそれに関連する潜在的コストの検討を進めるでしょう。  サイバー商品とエクスポージャーに精通した保険ブローカーにサポートされた企業が、増加する通知の当事者コストを転移し、保険会社が持つ一流のサービスプロバイダのネットワークを活用しようとするにつれ、保険の補償内容に関する問い合わせが増えるかもしれません。  
• 既存のサイバーポートフォリオに関しては、特に大量の個人を特定できる情報 (PII)を収集し処理する、リテール、接客業、医療、金融機関といった業種において、通知義務により当事者損失の頻度と重大度の両方が上がるかも知れません。  

Munich Reのサイバーソリューション

サイバーはMunich Reの戦略的成長分野です。世界有数の再保険会社として、弊社は出再保険者と緊密に協力し、リスク転移に併せて、販売から引受のトレーニング、自動見積もりから、仮引受システム、インシデント後のサービスまでの包括的なサービスを提供しています。対象のセグメント、市場特有の条件、出再保険者の能力に合わせたカスタムメードのサービスで、ほとんどの市場と、クライアントに適したサービスモデルに、出再保険者が確実にアクセスできるようにします。弊社のサービスはクライアントの市場進出のサポートにとどまりません。既存のポリシーの中にある隠れたサイバーリスク（サイレントサイバー）を透明にする取り組みを続け、個別案件でもポートフォリオにおいても適切にリスクを評価します。 

弊社の目標は、クライアントと協力し、サイバーリスクを保険に適したものとすること、さらに重要なことは、現実的な蓄積シナリオを検討する持続可能なサイバー市場、そして卓越した引受業務の維持です。この目標を支える、受賞歴を持つ弊社の専門知識は、世界各地でサイバー関係で働く120名の同僚たちによって基礎が築かれ、さらにインシデント対応のパートナーネットワークの専門知識によって強化されています。

Munich Reとしての究極のゴールは、出再保険者をサポートして、サイバー商品の企業向け、個人向けを問わず、また追加のソリューション提供にこだわることなく、このダイナミックで常に変化するリスクに対する正しい答えを見つけ、それを持続可能なやり方で実施することです。