サイバーリスク保険の普及－サイバーリスクは、保険でどこまでカバーできるのか?　|ニッセイ基礎研究所

2――サイバーリスクとは

まず、サイバーリスクについて、その内容や、近年の発生状況を概観することとしたい。

1｜サイバーリスクは様々な形で進化し、政府や企業等にとって、大きな脅威となりつつある
インターネットの拡大を通じて、世界中で、コンピューター、スマートフォン、タブレットが接続されている。様々な情報が、デジタルデータ化される。そして、日々、膨大な量のデータが、通信されている。政府・自治体、企業、個人にとって、これらの情報を通じた、事業運営や活動が不可欠となりつつある。中でも、企業は、機密情報や顧客情報を多く抱え、その保護や管理に力を入れている。

一方、それらを狙った、サイバー犯罪は様々な形で進化し、中には、政府や企業等にとって、大きな脅威となるものも出てきている。悪意をもって他人のコンピュータのデータやプログラムを盗み見たり、改竄(かいざん)・破壊などを行うことが、その中心となっている。主なサイバーリスクとして、次の図表のようなものが挙げられる。

¹ DDoSは、Distributed Denial of Serviceの略。DDoS攻撃は、分散型サービス拒否攻撃を指す。

2｜サイバー犯罪による損害額は、世界全体で年間4,000億ドル以上
サイバー犯罪は、世界的に拡大している。2014年に公表された調査報告²によれば、年間の損害は、4,000億米ドル以上とされている³。同報告は、国別の損害額も示している。国内総生産(GDP)に対する損害額の比率で見ると、ドイツが1.60%と高い。次いでオランダが1.50%、ノルウェーが0.64%と、一部のヨーロッパ諸国で高くなっている。主要国では、アメリカは0.64%、中国は0.63%、イギリスは0.16%、フランスは0.11%などとなっている。日本は、0.02%と、他国に比べて低水準とされている。

² “Net Losses: Estimating the Global Cost of Cybercrime Economic impact of cybercrime II”(Center for Strategic and International Studies, June 2014) より。
³ 損害額の見積もりは、幅をもって示されている。少なくとも3,750億米ドル、最大で5,750億米ドルとされる。

3｜日本国内でも、サイバー犯罪は増加している
しかし、日本国内でも、ここ数年、サイバー犯罪の件数は増加した。警察庁の発表によると、2015年のサイバー犯罪の検挙件数は、8,096件に上った。特に、ネットワーク利用犯罪が増加している。

また、インターネットとの接続点に設置されたセンサーに対するアクセスの件数(1日・1IPアドレスあたり)は、2015年に急増している。ルーターや、監視カメラ等の組込み機器を標的とした、探索行為等が増加している。それと同時に、メールによる標的型攻撃の件数も、大きな伸びを見せている。

3――サイバーリスクの特徴

サイバーリスクには、他のリスクには見られない特徴がある。簡単に、それらを見ていこう。

1｜サイバーリスクは、他のリスクに比べて、発生確率が高く、影響が大きいとされている
前章で見たとおり、近年サイバーリスクは国内で増加している。一方、仮に発生した場合、100万件を超える個人情報が流出して、その対応に追われることもあるため、政府や企業に与える影響は大きい。世界経済フォーラムが、2016年1月に公表した、グローバルリスクについての報告書でも、サイバー攻撃は、発生確率、影響とも、他の様々なリスクの平均よりも高い、と位置づけられている。

2｜サイバーリスクは、予想損害額の見積もりが難しい
サイバーリスクによる損害は、様々な形で現れる。例として、企業が攻撃を受けて、機密情報や、顧客情報が漏洩(ろうえい)して、損害を被るケースを考えてみよう。

個人情報の漏洩に対して、被害者への損害賠償のための賠償金が必要となる。もし、顧客との間で訴訟が発生すれば、そのための費用もかかる。原因調査や、再発防止策の策定のためにも、弁護士相談や、臨時雇用職員の人件費、社告のための費用など、様々な負担が発生する。また、その対応のために、通常の業務の一部を一定期間停止することになれば、その間の機会利益の喪失や、工場ライン等の事業維持の費用も発生する。

機密情報については、その流出に伴ない、市場での優位性を失うことや、風評被害を被ることもあり、その場合の損害は計り知れない。

これらの損害は、事案ごとに発生の仕方が異なる。従って、過去の事例のうち、将来の予想の参考になる要素は限られる。このため、サイバーリスクは、予想損害額の見積もりが難しいと言える。