大災害等の保険金支払除外や曖昧なサイバー被害条項の監督（欧州）－契約者保護に関するEIOPAの声明

保険研究部主任研究員年金総合リサーチセンター・気候変動リサーチセンター兼任安井義浩

2022年9月22日に、EIOPA(欧州保険・年金監督機構)は、保険監督に関する二つの声明を発表している。

一つはパンデミック等に関する保険支払の除外条項に関する監督¹についてである。

保険会社側からみれば、保険金支払の条件があいまいであるにも関わらず規模が大きいと想定されるそうした事象については、リスク管理の面から、保険の設計や引受けが困難である事情がある。

しかし逆に、個々の契約者や法人、特に中小企業においては、パンデミック等は、ぜひ保険でカバーしてもらいたい重要な事象である。

もう一つは、その中に含まれるともいえるが、特にサイバー攻撃の被害を取り上げて、補償の範囲が保険契約の条文の中であいまいな条項をどう取り扱い、監督するか²を述べている。

サイバー攻撃による損失は、比較的新しいリスクであり、これまでの保険契約の条文の表現のままで、果たしてカバーされているのかあいまいな場合がありうる。そこで保険金不払いのようなことが起きないよう監督し、将来の起きる事象については、補償範囲について条件を明確にするよう、各国の保険監督者を通じて指導し、できればEU全体で基準を統一しよう、というものである。
以下、その内容を紹介する。

¹ SUPERVISORY STATEMENT ON EXCLUSIONS IN INSURANCE PRODUCTS RELATED TO RISKS ARISING FROM SYSTEMIC ENENTS https://www.eiopa.europa.eu/sites/default/files/publications/supervisory_statements/supervisory_statement_on_exclusions_related_to_risks_arising_from_systemic_events.pdf
² SUPERVISORY STATEMENT ON MANAGEMENT OF NONAFFIRMATIVE CYVER EXPOSURES
https://www.eiopa.europa.eu/sites/default/files/publications/supervisory_statements/supervisory_statement_on_management_of_non-affirmative_cyber_exposures.pdf

1――システミックな事象から生じるリスクに関する、保険支払から除外される事象の監督について

1｜システミックな事象と保険への影響
ここでいう「システミックな事象」とは、「広範囲にわたって公衆衛生の安全性への脅威をもたらすもの、あるいは経済や国家安全保障に重大な悪影響をもたらす深刻な事象」というもので、例えばパンデミック、気候変動関連の現象、大規模なサイバー攻撃といったものを想定している。

またさらに広く捉えると、それらをきっかけとした会社の倒産など、間接的に悪影響が広まることも想定される。最悪のケースでは、金融セクターの信頼を損なうような結果をもたらしかねない事象もありうる。

そうした事象の頻度が高まるにつれて、保険会社側は保険金支払条件の見直しが必要となるだろう。あるいはそれらをカバーする保険の保険料を値上げしたり、そもそも保険の対象外にしたりするといったことも考えられる。あるいは、そうした事象をカバーしているかもしれないが契約条項の表現があいまいなものについては、はっきりと除外される可能性がある。

ところが保険契約者や企業から見ると、保険会社に補償してほしいというニーズとは逆行するので期待とのズレが大きくなる。これが消費者の心理に悪影響をもたらし、保険金支払いがなされないことで、経済状況の回復に悪影響を与え、社会全体の経済の回復力を低下させてしまうかもしれない。

2｜保険監督者サイドの方針
さてこうした流れの中で、各国の保険監督者は、今後の保険契約につき、以下のような事態が起きることを想定している。

保険商品は複雑になり、不明確な契約文言が頻繁に使用されるようになる。ひいては保険の適用範囲が不明確になり、顧客の苦情や法的な紛争が増加する。
保険会社が既存の保険商品を見直して、適用除外事項をはっきりさせるあるいは新しく追加する動きが起こる。この際、商品開発や改定に関する適切なルール（POGルール³）に則っているかどうかが問題となる。
最初からシステミックリスクをカバーするものとして宣伝された保険商品であるにもかかわらず、実際には何がカバーされているか顧客に周知徹底されていないものがある。具体的な例として、新型コロナに関して言えば、確かに入院は補償されたが、強制検疫の費用やイベントのキャンセルは補償されなかったケースがある。それは顧客の期待が思いこみに過ぎなかったのか、当初の宣伝が誇大だったのか、はっきりしない場合もあろう。

こうしたなかで、保険の新商品が開発されたり、既存の商品が改訂されたりする時、既存の、または将来の契約者の利益が、適切に考慮されているかどうか、ということをEIOPAでは重視している。

そこで保険商品の設計や契約条件の作成の際、各国監督官庁が「支払対象から除外する事象」をどう評価するかという問題につき、EIOPAでは、欧州全体で統一的な方針を作ることをめざしている。

こうしたシステミックな事象から引き起こされるリスクが現実化した際、保険商品の契約条項が明確でなかったり、最終的に補償がなされなかったりする事態が起こったとする。そうした場合、各国の保険監督者が、保険会社において契約条項と補償範囲が適切に評価されているかどうかを、いつでも監視することをEIOPAは推奨している。（それが一般的な文言やできるだけ簡潔な表現を使って表示できるかどうかも問題ではあるが。）

また、保険の新商品において、最初からシステミックリスクを除外している場合には、そのことが市場のニーズ、補償の目的にかなっているのかどうかを評価することを、一般的な商品の監視やガバナンス以上に慎重に行うことを、各国保険監督者に推奨している。

どんなリスクでも保険でカバーできるというわけではないが、補償範囲が明確で市場のニーズに合致していれば、契約者たる個々人や中小企業はシステミックなリスクやその他関連するリスクが補償の対象になるかどうかを加入時に検討できる、とEIOPAはみており、そうした方向でのさらに具体的な調整を提唱している。

³ POG(Product Oversight and Governance):EU内で統一された、商品開発時における手続きが定められている、あるいは進展している段階である。）。

2――曖昧なサイバーエクスポージャーの管理に関する声明

1｜サイバー攻撃による被害と保険への影響
さてもう一つの声明は、サイバー攻撃に関連するものである。金融・非金融セクター両方に対するサイバー事象の頻度は増加し、巧妙さも増してきている。

保険会社側からみると、サイバー保険契約そのものと、サイバーリスクが明確に考慮されていない保険契約両方によって、潜在的なサイバー関連の損失リスクにさらされている。

近年、サイバーリスクは増大しているので、顧客たる企業の方も、保険ニーズは高まっていると考えられる。各国保険監督者は、サイバーリスクをカバーする保険の契約条件に関する保険会社の評価につき、今まで以上に注意を払うべきだと、EIOPAは奨励する。

2｜保険監督者サイドの方針
最終的には各国のサイバーリスクに関する保険市場への対処につきEU内で統一された基準をつくることを目的とする。しかし今回の声明の段階では、保険会社や再保険会社が、サイバーリスクを引き受けるかどうか、そうしたリスクを敢えて取りに行く経営上の必要があるかを慎重に判断することが重要だとしている。

また、いずれはサイバー事象の補償に関する契約条件の見直しが必要であること、およびそうした見直しの内容について、保険契約者に明確かつタイムリーに伝達することが重要であるとして、その方法などについて検討を開始している。

さらに、戦争やテロに関する保険金支払いの除外条項などは従来からあるものだが、現代の戦争のデジタル的側面が考慮されていないために、補償範囲・条件があいまいになっている事象も発生している。これに対しては、保険会社の全体戦略やサイバーリスクをあえて引き受けるかどうかという方針を見直して、ターゲットとする市場の保険契約者に適切な価値が提供できるならばそれでよいのだが、具体的な事例では様々な問題がでてくるだろう。

保険会社がサイバーリスクを健全に引き受けるために、顧客企業のリスクエクスポージャーを特定し、定量化することも求められている。このようにして、現在あいまいなままのサイバーリスクスエクスポージャーを適切に管理するようになることは特に重要であり、その際、リスクそのものを軽減する手段や、再保険を利用することを常時検討しておくことも必要となる、とEIOPAはみている。