キャプティブ 2020.04.06
CA11 キャプティブに相応しい保険④(サイバー保険)Insurance suitable for captives (cyber insurance)
For those who prefer to read this column in English, the Japanese text is followed by a British English translation, so please scroll down to the bottom of the Japanese text.
2019年3月日本損害保険協会が実施したアンケート、「サイバー保険に関する調査 2018」によると、サイバー保険の加入状況は12%程度であり、加入していない理由としては、「保険の必要性を感じなかった」また「保険の存在を知らなかった」が多く、さらに、「加入を検討したが、加入しなかった企業の半数近く」は、「保険料が高かった」と回答、特に売上高 100 億円以上の企業では「保険料が高かった」が最多で、「補償内容がわかりづらかった」も比較的高い結果となっていた。
サイバーリスク対策をしない、強化しない理由として、「自社がサイバー攻撃の対象になる可能性が低いと考えている」が 50%を超え、「経営上の優先順位が高くない」、「費用がかかり過ぎる」、「専門的な知識を有する人材の不足」の順に多かった。
逆に、加入した理由としては、「自社に合った補償内容だった」、「自社に合った保険料だった」50%を超え、次が「自社に合った保険金額だった」となっていた。
1.日本のリスクマネジメントに対する考え方
このアンケートは、サイバー保険に限らず「損害保険全般に対して一般的な日本企業が抱く考え方が色濃く出たもの」といっても過言ではないだろう。まず、「リスクに対する姿勢」としては、「サイバー攻撃の対象になる可能性が低いと考えている」という答えがトップである。欧米の企業にアンケートをおこなうと全く真逆の答えが帰って来るであろう。
また、加入しなかった多くの企業の理由は「保険料が高かった」である。保険料は損害保険会社が何の根拠もなく算出できるものではない。保険数理の厳しい検証を経た上で出されるものである。それが「高い」となるということは、「自分の会社の経費予算に比して」という言葉や、「思っていたより高い」ということが答えの背景にあるのではないだろうか。
2.なりすましメールの拡散
最近、日本にも本格上陸してきていて懸念されているコンピューターウイルスに「Emotet(エモテット)」がある。これは、感染するとメールアドレスや本文を盗まれ本人になりすましたメールが次々と発信されてしまう、パンデミック型のウイルスである。首都大学東京を始め、既に日本でも400以上の団体、企業で被害が出ているものである。いずれの場合でも添付ファイルを開いたときに感染する。
エモテットでメールが盗まれると「ランサムウエア(身代金要求型ウイルス)の起点とされてしまう可能性」がある。企業のサーバのデータを暗号化して、それを解除するための「身代金(ランサム)」を要求してくるウイルスであるから、「ランサムウエア」と呼ばれているが、この復旧費用は非常に高額となり、企業経営の屋台骨にも影響する。それほど高額な「身代金(ランサム)」を要求してくるのが普通である。
しかし、通常日本の保険会社から提供されるサイバー保険では、この「ランサムウエア(身代金要求型ウイルス)攻撃(アタック)によるランサム(身代金)」に対する補償はなされていないのである。
3.サイバー攻撃(アタック)
日本損害保険協会のホームページによると、「公的機関だけではなく、あらゆる業種の企業が攻撃対象になっている。公務や金融業・保険業だけではなく、製造・非製造を問わず幅広い業種が攻撃対象になり、そのサイバー攻撃(アタック)の事例としては以下が代表的なもの」となっている。
標的型メール攻撃
メールやWEB経由で、特定の企業のパソコンをウイルスに感染させ、機密情報の窃取やシステム・設備の破壊・停止を行う攻撃。標的型攻撃は長期間継続して行われることが多い。ランサムウエア
企業のサーバ等を暗号化して、その解除と引き換えに「ランサム(身代金)」を要求するプログラム。ばらまき型メール攻撃
メールやweb等により、不特定多数の企業のPCをウイルスに感染させ、機密情報の窃取やシステム・整備の破壊・停止を行う攻撃。DDos攻撃
同時に攻撃対象のサーバに対して大量のパケットを送信することで、サーバの処理能力を飽和させたり、ネットワーク帯域を枯渇させたりし、使用不能にする攻撃。ビジネスメール詐欺
取引先との請求書の偽装など巧妙な偽メールを企業に送り付けて従業員を騙し、攻撃者の口座に送金させる行為。その準備行為として、従業員の個人情報等の詐取が行われることもある。ソフトウェアの脆弱性攻撃
脆弱性が存在するWEBサーバなどに対して、ウイルスを感染させる攻撃。情報窃取や機器破壊等の被害がある。
4.サイバー保険
各保険会社によって補償内容の細かい部分が異なるが、サイバーアタックに対する保険の補償の概要は、以下の通りである。
損害賠償責任
被保険者(補償の対象者)が法律上負担する損害賠償金や、争訟費用等による損害を補償する。事故対応費用
サイバー事故に起因して一定期間内に生じた下記のような各種費用を補償する。
事故原因調査、サイバー事故対策コールセンター設置、記者会見、見舞金の支払、
法律相談、再発防止策の策定等。利益損害・営業継続費用
ネットワークを構成するIT機器等が機能停止することによって生じた利益損害(喪失利益・収益減少防止費用)や営業継続費用を補償する。保険料水準
売上高、業種、補償内容、企業のセキュリティ対応策の状況、過去の事故歴(情報漏洩等)、第三者認証取得の有無等によって保険料が決まるが、会社規模の指標である売上高が数十億円から100億円程度の規模の会社で、補償額の合計が1億円程度で、概ね数十万円から数百万円のレベルの企業が多いようである。
筆者は、非常に専門的な保険と言われている「貿易保険、輸出取引信用保険」の分野で長らくアンダーライター(保険引受人)を務めていたが、その経験からするとこのサイバー保険の保険料は「安すぎる保険料」であると感じている。つまり、「サイバーリスクへの対処、防御等のために必要ないくつかの重要な補償部分をカットしないと出せない保険料ではないか」と考えている。その1つが前述のとおり、「ランサム(身代金)」への補償なのである。
5.サイバー保険の補償内容の違い(日本の保険会社とソリューション・キャプティブ®)
ソリューション・キャプティブ®を設立した場合、そのリスクを最終的に引き受ける世界最大級の再保険会社の補償内容の概略は次の通りである。
1. IT systems, programs & Data 2. Business interruption 3. Privacy breach (1st party) 4. Privacy breach (3rd party) 5. Extortion 6. Outsourcing, Cloud Computing and IT partners 7. Reputational risks 8. PCI-DSS – Payment Card Industry Data Security Standard 9. Digital archives 10. Performance and Delay 11. Suppliers of digital services 12. Property damage and BI after digital risks 13. Prevention and security update 14. Liability
日本の保険会社の補償では「損害賠償責任」となっていた補償内容が「Privacy breach (1st party)」、そして「Privacy breach (3rd party)」と明確に区分されているのが解る。
また、他の補償も「明確な定義」がなされていることがわかる、「最終的にリスクを引き受ける保険会社として、引き受けるリスクを明確に定義しておかないと、再保険を出してくる元受保険会社、ひいては顧客に想定外の損害を負わせないようにするため」である。
なぜ、日本の保険会社の補償では「賠償責任」とただ記されている補償に、この区分が必要なのか、それはサイバー保険の対象とするリスクは「ITの世界に存在するリスク」であるから、「ITの言葉」で記して定義を明確にしておく必要があるからである。
「あいまいな表記の補償内容であれば保険事故への対応、損害保険金の支払いで問題を起こす可能性を排除する姿勢」といえよう。日本の保険会社の補償では「損害賠償責任」とだけ記されていた「賠償責任」の代表的な補償について見てみたい。
Privacy breach (1st party)とは
1st partyとは「当事者」を意味する英語であるが、IT用語としては「製品を提供するメーカーを指して使われる言葉」であり、ゲーム業界であればゲーム機を発売している大手メーカーが該当する。この1st partyのPrivacy breach(プライバシーの侵害)が起きた時に、その賠償責任を補償する条項である。
Privacy breach (3rd party)とは
一方、3rd partyとは「第三者」を意味する言葉で、上記大手メーカーが構築したビジネスモデル(ゲーム業界ならゲーム機、プラットフォーム)に、第三者的に参加する企業を指す。ゲーム機を発売する上述の大手メーカー以外の企業であり、サポートをする企業である。そのような3rd partyのPrivacy breach(プライバシーの侵害)が起きた時に賠償責任を補償する条項である。
今回のまとめ
この世界最大級の再保険会社はサイバー保険の説明書にこう記している
Cyber and Digital Risks:For most people, the word “cyber” suggests personal data breaches and the associated costs. Our definition of “cyber” is much broader. we addresses a wide range of digital risks, and has the ability to adapt to your specific risk profile.
サイバー・デジタルのリスク:ほとんどの人にとって、「サイバー」という言葉は個人データの侵害とそれに付随する関連の費用を示唆する言葉でしょう。しかし、 我々は「サイバー」という言葉に対しては、遥かに広範な定義を有しています。 しかし、我々は、そのような広範なデジタルリスクに対応するだけでなく、特定の保険ニーズがある方々に対しても、その特定のニーズに対応する能力を有しています。
なぜ、グローバル・リンクがリスクマネジメントの点からソリューション・キャプティブ®にこだわるのか、それはこの言葉にすべてが凝縮されているからである。自社のみの特定のリスクマネジメントニーズに応える、欧米の最先端のこの補償を保険として日本で具現化する方法は、このキャプティブをおいて他にはないからである。
いまや、サイバーアタックのメインリスクは、高額な「ランサム(身代金)そのもの」である。この補償の無いサイバーでは保険「保険の意味が無い」と言っても過言ではないだろう。この補償をどのようにして手に入れるか、リスクマネジメントの技量が試されるところであると考える。
執筆・翻訳者:羽谷 信一郎
English Translation
Captive 11 – Insurance suitable for captives④ (cyber insurance)
According to a survey conducted by the General Insurance Association of Japan in March 2019, “Cyber Insurance Survey 2018,” about 12% of respondents have cyber insurance, and the most common reasons for not having cyber insurance are that they didn’t feel the need for insurance and didn’t know about the existence of insurance, as well as that they had not considered purchasing it and however, nearly half of the respondents who did not take out insurance answered that the premiums were too high, especially among companies with sales of 10 billion yen or more, and “coverage was difficult to understand” was relatively high.
More than 50% of the respondents gave reasons for not taking or strengthening cyber risk measures: “Believing that the company is unlikely to be a target of a cyber attack”, followed by “Not a high management priority”, “Too costly”, and “Lack of specialized knowledgeable personnel”.
Conversely, more than 50% of respondents chose “Coverage suitable for the company” and “Insurance premiums suitable for the company” as the reason for purchasing a policy, followed by “Insurance amount suitable for the company”.
1. Japanese attitude towards risk management
It would not be an exaggeration to say that this survey reflects “the general attitude of Japanese companies towards non-life insurance in general,” not just cyber insurance. First of all, the most common answer for “Attitude towards risk” was “Thinking that the possibility of becoming a target of cyber attacks is low”. A survey of companies in the U.S. and Europe shows that the answer is the exact opposite.
Most of the companies that did not purchase insurance said that the insurance premiums were too high. Insurance premiums are not something that non-life insurance companies can calculate without any evidence. They have to go through a rigorous actuarial review. The reason why the premiums are “high” is probably because of the words “compared to my company’s cost budget” or “higher than I expected”.
2. The proliferation of spoofed emails
Recently, there is a computer virus called “Emotet” which has been arriving in Japan in earnest and is a cause for concern. This is a pandemic-type virus that can steal your email address and text, and send out a succession of emails pretending to be you. More than 400 organizations and companies in Japan, including Tokyo Metropolitan University, have already been affected by this virus. In each case, the virus is transmitted when the attachment is opened.
If an email is stolen by Emotet, there is a possibility that it could be used as a starting point for ransomware (a ransom demand type virus). It is called “ransomware” because the virus encrypts data on a company’s server and demands a “ransom” to break the encryption, but the cost of recovery is very high and affects the backbone of a company’s business. Ransomware usually demands a “ransom” of such a high amount.
However, the cyber insurance policies usually provided by Japanese insurance companies do not provide coverage for “ransomware (ransom) attacks“.
3. Cyber attack
According to the website of the General Insurance Association of Japan, “not only public institutions, but also companies in all types of industries have become targets of attacks. Not only the public sector, financial and insurance industries, but also a wide range of manufacturing and non-manufacturing industries have been attacked, and the following are typical examples of cyber attacks”.
Targeted email attacks
An attack that infects a specific company’s computer with a virus via email or the Web to steal confidential information and destroy or shut down systems and equipment. Targeted attacks are often sustained over a long period of time.
Ransomware.
A program that encrypts a company’s server and demands a “ransom” in exchange for its release.
Variety mail attack
An attack that infects the PCs of an unspecified number of companies with a virus via email or the web to steal confidential information and destroy or disable systems and maintenance.
DDoS attack
An attack that simultaneously sends a large number of packets to a target server, saturating the server’s processing power and exhausting network bandwidth, rendering it unusable.
Business Email Fraud
The act of tricking an employee into transferring money to the attacker’s account by sending a company a sophisticated fake email, such as a forged invoice with a business partner. In preparation for this, employees’ personal information is sometimes stolen.
Software Vulnerability Attack
An attack that infects a vulnerable web server with a virus. It can cause damage such as information theft and device destruction.
4.Cyber insurance
While the specifics of coverage vary from one insurer to the next, the following is an overview of insurance coverage for cyber attacks.
Liability for damage
It compensates the insured person (the person covered by the compensation) for damages legally borne by the insured person (the person covered by the compensation), as well as for damages caused by litigation costs, etc.
Accident response costs
We will compensate you for various expenses incurred within a certain period of time as a result of a cyber incident, including the following Investigation of the cause of the incident, establishment of a cyber incident call center, press conference, payment of consolation money, payment of Legal advice, formulation of preventive measures, etc.
Profit and loss and business continuity costs
Indemnifies for loss of profit (lost profits and costs to prevent loss of profit) and business continuity costs caused by the disruption of the IT equipment and other components of the network.
Insurance Premium Levels
The premiums are determined by such factors as sales, industry, coverage, status of corporate security measures, history of accidents (e.g., information leaks), and whether or not the company has acquired third-party certification, but most companies with sales of billions of yen to 10 billion yen (a measure of company size) are likely to pay hundreds of thousands of yen to millions of yen for total coverage of around 100 million yen.
I worked as an underwriter for a long time in the field of trade and export credit insurance, which is considered to be a very specialized insurance field, and from my experience, I feel that the premiums for cyber insurance are too low. In other words, I believe that the premiums are “too low to pay without cutting out several key areas of coverage needed to address, defend against, etc., cyber risks”. One of them is “ransom” coverage, as mentioned above.
5. Differences in cyber insurance coverage (Japanese insurance companies and Solution Captive®)
When a Solution Captive® is established, the coverage of the world’s largest reinsurer, which ultimately assumes the risk, is outlined below.
1. IT systems, programs & Data
2. business interruption
3. privacy breach (1st party)
4. privacy breach (3rd party)
5. extortion
6. Outsourcing, Cloud Computing and IT partners
7. reputational risks
8. PCI-DSS – Payment Card Industry Data Security Standard
9. digital archives
10. performance and delay
11. suppliers of digital services
12. property damage and BI after digital risks
13. Prevention and security update
14. Liability
It is clear that the Japanese insurance company’s coverage, which used to be called “liability for damages”, is now clearly defined as “privacy breach (1st party)” and then “privacy breach (3rd party)”.
Other coverages are also “clearly defined”: “As an insurance company that ultimately underwrites risks, the purpose of the policy is to ensure that primary insurers and customers who offer reinsurance do not suffer unexpected losses if the risks are not clearly defined.
The reason why this category is necessary for coverage that is simply labeled “liability” by Japanese insurance companies is because the risks covered by cyber insurance are “risks that exist in the world of IT” and should be clearly defined in “IT terms”.
It can be said that the insurance company’s approach is to eliminate the possibility of causing problems in responding to insured accidents and paying claims if the coverage is ambiguously described. Let’s take a look at some of the typical “liability” coverages, which were described only as “liability for damages” in the Japanese insurance companies’ coverage.
What is privacy breach (1st party)?
In IT terminology, the term “1st party” means “party”, and in the case of the game industry, it is used to refer to the manufacturer who provides the product, and in the case of the game industry, it is the major game console manufacturer. It is a clause to indemnify the first party’s liability in the event of a privacy breach.
What is a privacy breach (3rd party)?
On the other hand, the term “third party” means “third party” and refers to companies that participate in the business models (game consoles and platforms in the case of the game industry) developed by the major manufacturers as a third party. These companies are not the major game console manufacturers, but rather the companies that support them. It is a clause that indemnifies such third parties against liability in the event of a privacy breach.
Summary of this issue
This world’s largest reinsurer wrote in its cyber insurance briefing book.
Cyber and Digital Risks: For most people, the word “cyber” suggests personal data breaches and the associated costs. definition of “cyber” is much broader. We address a wide range of digital risks, and have the ability to adapt to your specific risk profile.
In Japanese translation, “Cyber and digital risks: for most people, the term ‘cyber’ will suggest a breach of personal data and its associated costs. However, we have a far broader definition for the term ‘cyber’. But we have the ability to not only address such a broad range of digital risks, but also to address the specific needs of those with specific insurance needs”.
Why Global Link is so focused on Solution Captive® in terms of risk management is because it all boils down to these words. Because there is no other way to embody this state-of-the-art Western coverage in Japan as an insurance policy that meets the specific risk management needs of your company only, with this captive.
Nowadays, the main risk of cyber-attacks is the high cost of the ransom. It is no exaggeration to say that insurance is useless without this compensation. How to obtain this compensation is a question that will test your risk management skills.
Author/translator: Shinichiro Hatani