For those who prefer to read this column in English, the Japanese text is followed by a British English translation, so please scroll down to the bottom of the Japanese text.

「郵便局」、日本郵便株式会社のホームページ、その「2015年2月18日付ニュースリリース」には、「日本郵便による豪州物流企業Toll Holdings Limitedの株式の取得（子会社化）について」という標題で、以下の記述がある。

日本郵便株式会社（東京都千代田区、代表取締役社長　高橋亨）は、本日、豪州証券取引所に上場する豪州物流大手であるToll Holdings Limited（本社：豪州・メルボルン、社長：ブライアン・クルーガー）の発行済株式100%を取得し、子会社化するための手続きを開始することを決定しましたので、お知らせいたします。

そして、豪州、アジア、太平洋地域を中心にして、50カ国1200拠点のネットワークを有する、航空機を主体にした国際宅配便、運輸、ロジスティクスサービス等の事業をおこなう、「トール・ホールディングス（Toll Holdings Limited）」は、同年5月日本郵便により買収され同社の子会社となった。

本年、2020年2月18日の「時事通信」のニュースによると「日本郵政傘下のトールにサイバー攻撃＝契約先は対応不満＝豪経済紙」の標題で以下の報道がなされた。

【シドニー時事】日本郵政傘下のオーストラリア物流大手トール・ホールディングスが大規模なサイバー攻撃を受け、事後対応をめぐり契約先企業の不満に直面している。１７日付の豪経済紙オーストラリアン・フィナンシャル・レビューが報じた。
専門家らによると、今回のサイバー攻撃は豪州の企業にとって最も大きな影響を与えたとみられている。
報道によれば、トールは２週間前に「ランサムウエア（身代金要求型ウイルス）」の攻撃を受けた。配送の多くや追跡システムが停止した。ランサムウエアは企業や公的機関にとって大きな脅威となっている。（以下省略）

そして、11月5日の「朝日新聞（Digital)」が以下を報道した。

日本郵政は5日、2015年に買収した豪物流大手トールの主力事業を売却する方針を正式に決めたと発表した。不採算部門を切り離し、経営改善をはかる。トール買収は、日本郵政が「企業価値が高まる」とPRした大型案件だったが、グループの重荷となり、経営に課題を残した。

　売却するのは、オーストラリアとニュージーランドで宅配便などを展開する「エクスプレス事業」。トールの売り上げの3割超を占めるが、20年3月期に1億豪ドル（約75億円）の赤字を計上し、20年4～6月期も同規模の赤字を出した。買い手が見つかるかは不透明で、日本郵政も「売却の確証はない」としている。

　日本郵政は、株式上場を控えた15年にトールを約6200億円で買収。1株あたりの買収額は買収公表直前の株価の1・5倍で、それを日本郵政の取締役会で一度も議論せずに決めたことも後で判明した。

1． サイバーアタック（攻撃）対策

本コラムの「リスクマネジメント　23－『秘密諜報員ベラスコ』」に以下のように記した。

「各損害保険会社のサイバー保険の内容を見ると、『賠償責任』、『費用』そして『喪失利益』に関する補償内容が具に記されている。しかし、『サイバー攻撃にはこのサイバー保険があれば大丈夫』と果たして言えるだろうか？例えば、『ランサムウエア』（身代金要求型サイバー攻撃）が自社のＩＴシステムを攻撃してきたとき、確かに『費用』や『逸失利益』は支払限度額まで補償されるが、その『メインリスク』である『ランサム（身代金）』についてはどうだろうか？」

また、「キャプティブ 11ーキャプティブに相応しい保険（サイバー保険）」にも以下のように記した。

最近、日本にも本格上陸してきていて懸念されているコンピューターウイルスに「Emotet（エモテット）」がある。これは、感染するとメールアドレスや本文を盗まれ本人になりすましたメールが次々と発信されてしまう、パンデミック型のウイルスである。首都大学東京を始め、既に日本でも400以上の団体、企業で被害が出ているものである。いずれの場合でも添付ファイルを開いたときに感染する。
エモテットでメールが盗まれると「ランサムウエア（身代金要求型ウイルス）の起点とされてしまう可能性」がある。企業のサーバのデータを暗号化して、それを解除するための「身代金（ランサム）」を要求してくるウイルスであるから、「ランサムウエア」と呼ばれているが、この復旧費用は非常に高額となり、企業経営の屋台骨にも影響する。それほど高額な「身代金（ランサム）」を要求してくるのが普通である。

しかし、通常日本の保険会社から提供されるサイバー保険では、この「ランサムウエア（身代金要求型ウイルス）攻撃（アタック）によるランサム（身代金）」に対する補償はなされていないのである。

2．日本で一般的に提供されている「サイバー保険」の補償範囲

日本の損害保険会社が提供している「サイバー保険」は、サイバー攻撃によるすべての被害、損害を補償するものではない。どの保険会社でもサイバー保険は次の3つの補償で構成されている。

　　　　　① 賠償責任　②事故発生時の各種費用　③利益・営業継続費用

このうち、①の「賠償責任」は、「サイバー攻撃によって発生してくる可能性のある様々な賠償責任事案を補償する」ものであり、②の「各種費用」は同様に「サイバー攻撃によって必要となった費用、事故の原因調査、情報漏洩またはそのおそれに起因して被保険者が支出した各種費用等を補償する」ものである。

欧米と日本で一般的に提供されているサイバー保険は①「賠償責任」および②「各種費用」に関しては、事故事由や支払い保険金の定義で差があるものの、③の「利益・営業継続費用」部分での差と比べるとそれほど大きなものではない。ある意味、欧米の最先端のサイバー保険と日本で提供されているものでは、この③「利益・営業継続費用」部分の差が非常に大きいと言わざるを得ない。

一般的に使用されている日本の損害保険会社のサイバー保険の「提案書・案内書」を見ると、③「利益・営業継続費用」の部分は3つのパートに別れていて、「システム中断」、「情報漏えい」、「身代金」となっているが、「補償の対象」となっているものは「『システム（ネットワーク）の中断』に起因して生じた自社の利益喪失」のみである。

他の保険で補償されるリスクであるという理由で、「『情報漏洩』に起因して生じた自社の利益喪失」、そして「ランサムウエア、サイバー攻撃によって支払いを余儀なくされた『身代金（ランサム）』、これらはいずれも「補償の対象外」となっている。

3．ランサムウエアのサイバー攻撃の一例

米国に本社を置き世界的な展開をしている企業のオーストラリア法人が先月「ITシステムへのアクセスを制限する」ように設計されたランサムウェア攻撃を受け、「身代金（ランサム）」3000万ドル（約33億円）の要求を受けたとの報道があった。その手口は「企業のシステムをロックして、その後システムのロックを解除する身代金を要求する連絡が来た」とのことであった。

「一旦身代金を支払っても、また標的とされる可能性を高めるようなものであり、専門のコンサルティング会社と相談して相応の対応をするようにした方が良い」というのが、サイバーリスクの専門家の共通したアドバイスである。

こうならないためにもサイバーリスクのリスクマネジメントの第一歩、「スタッフへの十分な教育」が必要である。送信者が不明な場合は、添付ファイルを開いたり、電子メール内のリンクをクリックしないよう教育訓練する必要があり、また送信者の名前に心当たりがあったしても、アカウントがハッキングされている可能性があるため、スタッフは警戒する必要がある。こういったことを全般的に見直す本格的なリスクマネジメントが必要である。

今回のまとめ

サイバーリスクは、遭遇する頻度は少ないものの被害額が非常に大きくなる可能性が高いリスクである。本コラム、「キャプティブ（CA）12ーキャプティブのためのリスクマネジメント」に記したが、「リスクの強度が強く、発生確率が低い領域に所在するリスク」であり「キャプティブにリスク移転することに最も適しているリスク区分」である。

その意味でも、「サイバーリスクにはサイバー保険を掛ければ事足りる」ということではなく、キャプティブの設立を視野に自社のリスクに対して本格的なリスクマネジメントをおこなうことが肝要である。保険の補償範囲にも上記の通り、「免責（保険金が支払われない事象）」があり、前述の通り欧米の最先端のサイバー保険と日本で一般的に提供されているサイバー保険とでは大きな差があるからである。

「日本の保険会社から提案されるサイバー保険の内容をさらに充実させたい場合」も含めて、「企業戦略に的確な解（ソリューション）を与えるリスクマネジメント態勢の構築」をする必要がある。そのためには、ソリューション・キャプティブ®が最も効果的なリスクマネジメントの手段になるのではないだろうか。

執筆・翻訳者：羽谷 信一郎

English Translation

Captive 21 – Risks encountered by an international logistics company

The “Post Office”, Japan Post’s website, in its “News Release dated 18 February 2015”, entitled “Japan Post’s Acquisition of Toll Holdings Limited, an Australian Logistics Company (Making it a Subsidiary)”, states the following.

Japan Post (Tokyo, Japan; President and CEO Toru Takahashi) today announced that it has decided to begin the process of acquiring 100% of the issued shares in Toll Holdings Limited (Melbourne, Australia; President Brian Krueger), a leading Australian logistics company listed on the Australian Stock Exchange, to make it a subsidiary.

Toll Holdings Limited, which operates a network of 1,200 airborne courier, transportation and logistics services in 50 countries, mainly in Australia, Asia and the Pacific, was acquired by Japan Post in May of that year and became a subsidiary of Toll Holdings Limited.

On 18 February 2020, the Jiji Press reported the following story: “Japan Post’s Toll under Japan Post: Cyber-attack on Toll; Contractors Unhappy with Response”.

The Australian Financial Review reported on April 17 that Toll Holdings, an Australian logistics company under Japan Post, has been hit by a massive cyber-attack and is facing dissatisfaction from its contractors over its response to the attack.
According to experts, the cyber-attack is believed to have had the most significant impact on the Australian company.
According to reports, Toll was hit by a “ransomware” (ransom demand virus) attack two weeks ago. Many of its deliveries and tracking systems were shut down. Ransomware has become a major threat to businesses and public institutions. (The following are omitted)

And on November 5, the Asahi Shimbun (Digital) reported the following.

Japan Post announced on Nov. 5 that it has officially decided to sell the main business of Australian logistics giant Toll, which it acquired in 2015. The company will spin off the unprofitable division and improve its management. The acquisition of Toll was a major project that Japan Post advertised as increasing the value of the company, but it weighed on the group and left management with challenges.

The company to be sold is its Express business, which operates courier services and other services in Australia and New Zealand. This business, which accounts for more than 30% of Toll’s sales, posted a loss of A$100 million (about 7.5 billion yen) in the fiscal year ended March 2020, and posted a loss of the same magnitude in the April-June period of 2020. It is unclear whether a buyer will be found for the company, and Japan Post says there is no certainty that it will be sold.

It was later found that Japan Post bought Toll for about 620 billion yen in 2015, just before it went public, at a price per share equal to 1.5 times the share price just before the announcement of the acquisition, without ever discussing it at a meeting of its board.

1. Countermeasures against cyber-attacks

In this column, I wrote the following in “Risk Management 23 – ‘Secret Agent Velasco'”.

The contents of the cyber insurance policies of the various insurance companies provide coverage for ‘liability’, ‘cost’ and ‘lost profits’. However, can we really say that ‘this cyber insurance will protect us from cyber attacks’? For example, when ‘ransomware’ (ransom demand cyber-attack) attacks your IT system, you will be compensated up to the limit of your payout in terms of ‘cost’ and ‘lost earnings,’ but what about the ‘ransom’ which is the main risk?

I also wrote the following in “Captive 11 – Appropriate Insurance for Captives (Cyber Insurance 2)”.

There is a computer virus called “Emotet” that has recently landed in Japan and is causing concern. It is a pandemic type virus that can steal email addresses and text, and send out a succession of emails pretending to be the infected person. More than 400 organizations and companies in Japan, including Tokyo Metropolitan University, have already been affected by this virus. In each case, the virus is transmitted when the attachment is opened.
If an email is stolen by Emotet, there is a possibility that it could be used as a starting point for ransomware (a ransom demand type virus). It is called “ransomware” because the virus encrypts data on a company’s server and demands a “ransom” to break the encryption, but the cost of recovery is very high and affects the backbone of a company’s business. Ransomware usually demands a “ransom” of such a high amount.

However, Japanese cyber insurance companies do not provide any coverage for ransomware attacks.

2. Coverage of “cyber insurance” generally provided in Japan

The “cyber insurance” offered by Japanese property and casualty insurance companies does not cover all the damage and losses caused by cyber attacks. No matter which insurance company you use, cyber insurance consists of the following three types of coverage.

　　　　　(1) liability, (2) various expenses in the event of an accident, and (3) profit and business continuity costs.

Among them, (1) “liability” is “coverage for various liability cases that may arise as a result of cyber-attacks”, while (2) “various expenses” is “coverage for expenses incurred by the insured due to cyber-attacks, investigation of the causes of accidents, and expenses incurred by the insured due to information leakage or the threat of such leakage”.

Although there is a difference in the definition of (1) “liability” and (2) “various expenses” between the generally available cyber insurance in Europe, the U.S. and Japan, the difference is not so big compared to the difference in (3) “profit and business continuity costs”. In a sense, the difference between the most advanced cyber insurance in Europe and the Japanese cyber insurance is much larger than the difference in (3) “Profit and operating expenses”.

If you look at the commonly used cyber insurance “proposals and guides” of Japanese property and casualty insurance companies, (3) “Profit and business continuity cost” is divided into three parts: “System interruption”, “Information leak” and “Ransom”, but what is covered is only “Loss of profit due to ‘system (network) interruption'”.

Loss of profit resulting from ‘information breach'” and “Ransomware and ‘ransom’ forced to pay as a result of a cyber-attack,” both of which are “not covered” because they are risks that are covered under other insurance policies.

3. An example of a ransomware cyber attack

An Australian subsidiary of a US-based company with a global presence was hit last month by a ransomware attack designed to “restrict access to its IT systems” and reportedly received a “ransom” demand of $30 million (about ¥3.3 billion). The modus operandi of the attack was to “lock down the company’s systems and then contact the company to demand a ransom to unlock the systems,” the report said.

A common advice from cyber risk experts is that even if you pay the ransom, you should consult with a specialized consulting firm and take appropriate action.

To prevent this from happening, the first step in “cyber risk” risk management should be “sufficient training of staff”. If the sender is unknown, staff should be trained not to open attachments or click on links in emails, and even if you know the sender’s name, staff should be alerted to the possibility that their account has been hacked. A full-scale risk management program is needed to review these things in general.

Summary of this issue

Cyber risk is a risk that is rarely encountered but is highly likely to cause a very large amount of damage. As noted in this column, “Captive (CA)12 – Risk Management for Captives,” cyber risks are located in areas with high risk intensity and low probability of occurrence”, and ”are the most appropriate risk category for captives to transfer risks to”.

In this sense, it is not enough to say that cyber insurance is sufficient for cyber risks, but it is important to conduct full-scale risk management for your company’s risks with a view to establishing a captive. As mentioned above, there is a big difference between the most advanced cyber insurance in the U.S. and Europe and the one generally available in Japan.

If you want to enhance the cyber insurance proposed by Japanese insurance companies, you need to establish a risk management system that provides accurate solutions to your corporate strategy. The Solution Captive® is probably the most effective risk management tool for this purpose.

Author/translator: Shinichiro Hatani