欧州保険ストレステスト2018（2）－ストレステストのストレスシナリオ及びサイバーリスクに関するアンケートの内容

欧州保険ストレステスト2018（2）－ストレステストのストレスシナリオ及びサイバーリスクに関するアンケートの内容－

中村亮一

(2)中欧及び東欧の洪水
選択された2つの長年にわたり、広く普及した夏の洪水事象は、中欧及び東欧の主要河川に沿って実現する。この2つの事象は、オーストリア、チェコ共和国、ハンガリー、ポーランド、スロバキアの各地域で発生する。各事象は数週間続き、次のような特徴がある。

- 洪水1 -主として、チェコ共和国（総損失約26億ユーロ）及びポーランド（約11億ユーロの総損失）に影響を及ぼすが、その余波がオーストリア、ハンガリー、スロバキアに影響を与える（3国の総損失は約24億ユーロ）（事象ID：4108900）

- 洪水2 – 主として、ポーランド（総損失49億ユーロ）、チェコ共和国（総損失20億ユーロ）、スロバキア（総損失6億ユーロ）に影響を与えるが、その余波はハンガリーとオーストリアに影響を与える（2国の総損失は約158百万ユーロ）（EventID：4051952）。

2つの事象に関する地図と量的情報は技術情報に記載されている。

(3)一連の地震
イタリアの地震 - イタリア北部のOrzinuovi断層に浅いマグニチュード（Mw）6.2が発生する（これは、イタリアのM 5.5より大きい地震の可能性源データベースに含まれている約45.47°Nの9.96°Eの浸水断層である）と、約70億ユーロの業界損失をもたらす。ローカルサイト増幅の影響を含む、最も近いマッチングRMS（EventID 1054274）のスペクトル加速フットプリントを示すマップは、技術情報に記載されている。

モナコ地震 - フランスのモナコ - サスペル - ソーゲ断層の南端にマグニチュード（Mw）5.8の浅い地震が発生している（これは、厚い層で覆われた南向きの折れ曲がりと推力を構成する断層系の一部である。フランス、モナコ、イタリアに約20億ユーロの業界損失をもたらす。ローカルサイト増幅の影響を含む最も近いマッチングRMS（EventID 1053920）の実体のない加速フットプリントを示すマップは、技術情報に記載されている。

２｜ショックとその適用
参加グループは、引受戦略の変更又は再保険の保護を実施することにより、総損失又は純損失を減少させる能力が限られており、損失が瞬時に近いと考えることができる。

Nat-Catシナリオの影響を見積もるには、参加グループがそれぞれの損失の見解を提示すべきである。参加グループは、必要に応じて使用する外部モデルを引き出すことができるが、自分のポートフォリオの特性や独自の見解を反映するために調整を行う必要がある。現在使用されている主要なベンダーモデルの事象IDが提供されているが、ベンダーモデルの見積もりに加えられたデータの前提と調整が、参加企業のリスクの見解を反映するために評価される。

a）キャプチャされていないエクスポジャーやデータの制限（例えば、ジオコーディングされていない場所）に対する手当

b）モデル化されていない副次的危険（例えば、暴風サージ）、モデル化されていない補償（例えば、偶発的なビジネス中断）、モデル化されていないビジネスライン（例えば、海洋）に対する手当、

c）事後損失増幅のためになされる手当。

参加グループが独自の方法論又は代替モデルを使用した場合、アプローチ、方法論及び前提条件についての十分な詳細は、計算の妥当性についてのビューを作成するためのEIOPAの解説に開示されなければならない。

参加グループは、指定されたシナリオの確率又は回復期間についての見解を提示することも求められる。これらの見解の背後にある推論又はアプローチの詳細については、OEP及びAggregate Exceedance Probability（AEP）を参照のこと。確率又は回復期間は、少なくとも1年間にわたる全ての自然災害損失のシナリオからの企業への総損失額と同じくらい大きい損失を観察することに関するものでなければならない。

ストレステストでは、2017年末に決済される再保険条約（今後の年度）のみを考慮に入れることができる。つまり、ストレステストでは、再保険プログラムを変更するプロジェクト（決定の実施なし）は考慮に入れることができない。一連の事象によって発生した損失の計算には、合意された契約上の限度を考慮しなければならない。

5―サイバーアンケート

１｜概要
アンケートは、ストレスを受けたシナリオにおける参加グループの耐性力の評価ではなく、データ収集と見なされるものとする。

アンケートは3つの部分に分かれている。

パートA：グループレベルでのサイバーリスクの定義（サイバーリスクの定義方法）を考慮する最初のセクション。保険会社間の平等な競争の場を確立することを目指している。

パートB：参加グループがサイバーリスクに関する質問に回答しなければならない第2の部分は、自分のリスクプロファイルの要素とみなされる。この部分では、特定されたサイバー攻撃が、過去数年間にわたってストレステスト（ST）参加グループに及ぼす影響を、頻度及び経済的損失の観点から分析することを目的としている。適切なレベルの比較可能性と定量性の一致を促進するために、「サイバー攻撃」と「サイバー攻撃による経済的損失」の概念がさらに規定されている。

パートC：アンケートの第3の部分は、サイバーリスクに関連する質問を引受リスクの一部として包含する。この部分は、保険グループの引受ポートフォリオで保有されているエクスポジャーに関する情報を収集することを目的としている。

アンケートには、複数の選択肢と公開質問のセットが含まれている。詳細な説明と背景情報は、データ収集ファイルの特定のテンプレートに記載されている。

２｜各パートの具体的内容
(1)パートA：公平な競争条件の場を構築する
参加グループは、サイバーリスクの内部定義をベンチマークと照らし合わせてチェックするよう要求される。

「サイバーリスクは、インターネットや電気通信網などの技術ツールを含む、電子データとその伝送の使用から生じるあらゆる種類のリスクと定義することができる。また、個人や企業、政府に関連する電子情報の可用性、完全性、機密性など、サイバーセキュリティ事件、データの不正使用による詐欺行為、データ保管による賠償責任なども含まれる。」（保険部門におけるサイバーリスクに関する IAIS（2016）発行ペーパー）

(2)パートB：自分のリスクプロファイルの要素としてのサイバーリスク
他の全ての企業と同様、保険会社はサイバー攻撃を受けやすい。通常、企業には、運用リスク管理（ORM）アプローチにサイバーリスクが含まれている。パートBに含まれる質問は、頻度及び経済的損失の観点から、過去4年間の参加グループに対する特定されたサイバー攻撃の影響を分析することを目的としている。定量的結果の比較可能性と一貫性の適切なレベルを促進するために、「サイバー攻撃」と「サイバー攻撃による経済的損失」の概念をさらに特定すべきである。

提供される情報は、会社に潜在的に有害な影響を及ぼす事象に限定される（単一の個人、即ち従業員ではない）。さらに、サイバー攻撃の概念は、コンピュータシステム、技術に依存する企業、ネットワークの意図的な活用と結び付いており、以下のような結果につながる可能性がある（網羅的ではない）。

・個人情報の盗難、詐欺、恐喝
・マルウェア、ファーミング、フィッシング、スパミング、なりすまし、スパイウェア、トロイの木馬、ウイルス
・ラップトップやモバイルデバイスなどのハードウェアの盗難
・サービス拒否攻撃と分散サービス拒否攻撃
・アクセス違反
・パスワードスニッフィング
・システムの侵入
・ウェブサイトの改ざん
・プライベート及びパブリックWebブラウザエクスプロイト
・インスタントメッセージの不正使用
・知的財産（IP）盗難又は不正アクセス

サイバー事象に伴う経済的損失は、次のような「即時」の新興コストに限定されるべきである。

・法医学的調査コスト
・法的費用
・顧客通知コスト
・潜在的なビジネス中断コスト
・広報費
・詐欺コスト
・犯罪費用
・物理的な被害コスト
・IT／ビジネス修復コスト

以下の「低速燃焼」費用の例は報告されない。

・第三者訴訟費用
・風評被害による顧客離れ
・規制上の罰金及び罰則
・株価への影響
・管理焦点の喪失
・競争上の優位性の欠如
・収益の損失

(3)パートC：引受リスクの一部としてのサイバーリスク
このセクションは、保険グループの引受ポートフォリオに含まれるエクスポジャーに関する情報を収集することを目的としている。それは「肯定的」及び「非肯定的」エクスポジャーを構成する。

参加グループは、過去4年間における肯定的エクスポジャーと非肯定的エクスポジャーとを区別する標準的な数値（例えば、書面による総保険料、登録された請求）を提供するよう要求される。

6―まとめ

以上、今回の2018年の保険ストレステストのストレスシナリオの具体的内容及びサイバーリスクに関するアンケートの内容について、EIOPAによる技術仕様書に基づいて報告してきた。

今回のストレスシナリオがそのままEU以外の他の地域に対しても適用されるものではないが、日本や国際ベースでのストレステストにおけるストレスシナリオを考える上での１つの参考になるものと思われる。

このレポートを執筆している時点では、欧州を巡る状況が、イタリアやスペインの政治不安等を背景に混乱が生じ、その後一定落ち着きを見せたとはいうものの、不透明な情勢となっている。さらには、Brexit（英国のEU離脱）を巡る今後の動向も未だ不確実なままである。米国と関係各国を巡る貿易摩擦問題も予断を許さない状況にある。

こうした状況下で、今回設定されたストレスシナリオに基づく結果がどのようなものとなり、それが実際の状況に照らし合わせた場合に、どの程度意味あるものとなっているのかについては大変興味深いものがある。

いずれにしても、今回のストレステストの結果の公表は2019年1月に予定されているので、2019年1月の結果公表を心待ちにしたい。