For those who prefer to read this column in English, the Japanese text is followed by a British English translation, so please scroll down to the bottom of the Japanese text.

昨日、2月6日付け日本経済新聞（ネット版）には、「ネットバンキング被害4倍に　『ワンタイムパス』破る」の標題のもと「インターネットバンキングの口座から預金を不正送金する2019年の被害が前年比4.4倍の20億3200万円（暫定値）に急増したことが6日、警察庁のまとめで分かった。『ワンタイムパスワード』を破る手口が横行し、被害額は4年ぶりに増加した。金融機関は不正送金を防ぐため、顔や指紋で本人確認する生体認証の普及を急いでいる。」との記事が掲載されていた。

先日、ある化学品メーカーを訪問した。面談した旧知の経営企画担当役員の方に、「最近、サイバーアタックによって、企業の機密情報やデータが企業から漏れたときに必要となる費用や賠償金等をカバーするサイバー保険の内容が拡充されていて勧められたのですが、どう思われますか」と尋ねられ、私は次のように答えた。　

1．従来型リスクマネジメント

実は、先日同じようなことをあるお客さまに伺い、「見積書」を拝見して、「この保険料で、この補償範囲はすこし狭すぎないかな、ランサムウエアへの補償が曖昧な内容で、この補償内容で意味があるのか」と感じたため、ロンドン・マーケット（ロイズを始めとするロンドンのシティーに存在する保険会社・再保険会社の総称）の数人のアンダーライター（保険引受人）と話しをしてみましたが、彼ら全員、私とまったくの同意見で、「保険の補償内容が『アンティーク（骨董品）』だ、こんな内容では企業は護れない」と言っていました。

従来のリスクマネジメントは、リスクの処理を「リスクを取り除くこと」と「リスクを他者へ転嫁」する等、すべてのリスクを機械的に分類、大別分化させて処理していきました。ここが「従来型のリスクマネジメントの弱点」だと私は考えます。

ソリューション・キャプティブ®を検討する際、グローバル・リンクでは、「保険のなかにも免責条項がある、またその保険に加入することによって、かえって相殺される内部管理体制がありはしないか、それらカバーされない、またかえって顕われてくるリスクに対しては、どうソリューションを与えていけばいいのか」、そう考えを進めていきます。

つまり、保険というものは加入しているだけで、「その分野のリスクはカバーされた、他者へリスクの転嫁がなされた」、そう思いがちなものです。「このリスクはカバーされた、対応完了、他にも対応するリスクはいっぱいある、このリスクは対応できたのだから、他に対応していないリスクへ」と思考を移していく危険性があるのです。

2．リスクの変容

その過程で、逆に「対応したと思っていたリスクが、その対応の不備から、他のリスクに変容していく可能性を産み出し、かえってリスクを増大させていくこと」についてはまったく考えないのです。リスクの分類作業によって、実は、「一旦浮かび上がらせたリスクがまた埋没、新たなリスクが発生してしまう可能性がある」のです。

更に、そもそも世界の保険を代表するような専門家が「保険の補償内容がアンティーク」といった保険で大丈夫でしょうか。『頼りの保険はなくなった、内部管理体制も保険頼みだったのでどうしようか』となると大変です。

この保険を掛けることが「企業の内部情報管理体制を促すようにはたらくもの」であればいいのですが、先程申し上げた従来のリスクマネジメントの考え方を持ち続ける限り、諸刃の剣になる可能性もありますので、導入は専門家のアドバイスのもと慎重に検討されることをお勧めします。

また「日本で得られる補償内容に限度がある」のであれば、キャプティブを設立して海外の再保険会社から海外の広範な補償内容の保険商品を再保険の手段で日本に導入したらいかがですか。再保険の補償があるのであれば、日本の損害保険会社も前向きに検討してくれると思います。

こう申し上げたところ、「そうですね、必要な補償であれば広範な補償にしたいですから、前向きに検討します」と。

3．新たなリスクマネジメントへ

最新のART（保険代替手段）を駆使しても、先に述べた「リスクの大別分化の考え方にしたがって、リスクを機械的に分類、処理していくことにより、かえって、新たなリスクが産み出されてくる」と考える。「リスクを縦に並べ、横に対応方法を描いて、二次元マトリクス」でリスク処理を検討していくのが従来のリスクマネジメントの手法である。それを、「縦、横、そしてその処理によって新たに発生してくるリスク・対処方法を高さにとって三次元マトリクス」で考えるようにする、それが「グローバル・リンクのリスクマネジメント」である。

「保険の中にも『免責条項』というリスクがある、また保険を掛けることによって、かえって新たにリスクが発生してくる可能性は・・」と考える。その点から「取り除くことや他者へ転嫁することが難しい、自ら保有せざるを得ないリスクへの対応策も検討する、そして、一歩進んで、保有するリスクの制御手法等を逆に収益機会に転換させてしまうこと、「『Turning Risk to Profit®』（リスクの収益化）ができないかを検討する」、つまり「グローバル・リンクのリスクマネジメント」は「リスク処理の一手法であったリスクマネジメントを明確に経営戦略に変貌させた概念」である。

4．ソリューション・キャプティブ®の必要性

このような進化したリスクマネジメントを進めていけば「自前のリスク対応手段の必要性が顕れてくる」ものである。

その理由は、保険会社はその社会的な使命から「一社のみを対象にしたリスク対応策」を保険として提供することは「行動規範」の点から困難だからである。その点、欧米の保険会社は「自己責任原則」の点から社会的な使命を認識しつつも機能体としての企業行動原理を強く有しているため、「一社のみを対象にしたリスク対応策」にも積極的に取り組んできている。まさにキャプティブは「一社のみを対象にしたリスク対策」であり、「自社の要望に最も応える保険会社」なのであり、それがキャプティブを設立するメリットである。

その社会的使命感の認識の違いが、「全世界で総計7000社あまりあるキャプティブのうち米国企業は4000社を超えるなかで、日本企業の有するキャプティブは僅か90社あまり」というキャプティブへの取り組みの違いとなって現れていると考えることができる。

かつて、高度経済成長期には人材確保の理由から、終身雇用制度や企業内組合による労使協調などが広まった。戦前の日本や米英の資本主義でも存在したものではあるが、戦後の日本においては大半の大企業と多くの中小企業に広まり､「日本型経営」などと言われていた。背景としては、日本社会に残っていたムラ社会などの「共同体志向」や「平等志向」が企業などに持ち込まれたと言われている。

しかし、その象徴のようなメガバンク各行でも、前例のない規模でのリストラ計画が進められている。彼らが直面している課題は、あらゆる日本企業に共通したものであり、銀行業界で早期に問題が顕在化したに過ぎない。メガバンクの現在は、すべての日本企業における5年後の姿と考えることができる。

この深層部にある理由としては、「人材のミスマッチ」があげられる。メガバンクは「人員削減ではなく、業務量の削減」となっているが、業界ではそのようには受け止められていない。人手不足が叫ばれているなか、なぜ人員削減に踏み切る必要があるのか、その背後には構造的な要因があり、他の多くの日本企業にとってもまったく同じことが言える。「人は足りないのに、欲しい人材がいない、人材のミスマッチ」である。ＡＩ等のＩＴの進展によって、ビジネスのあり方が激変しているが、それに対応できていなくて、「職員の大半が時代の変化に対応できていないことを理由にする」企業戦略の言い訳ではないだろうか。

今回のまとめ

大きくビジネスの行動原理が変化してきている現代、すべての事業分野での対応にも変化が求められている。保険分野でも同様である、「保険は、総務部に、保険代理店に」と言っていた時代から、「新たな企業戦略が必要とされる時代」に、「保険はコストと考えていた時代から、収益へ」と生まれ変わらせなければならない時代に入ってきたと言えよう。

「Turning Risk to Profit®」（リスクの収益化）の時代に入ったと言える。また、そのためには「自社のみを対象にしたリスク対応策」である「ソリューション・キャプティブ®」が必要とされる時代に入ってきたと言えるのではないだろうか。

執筆・翻訳者：羽谷 信一郎

English Translation

Risk Management 6 – Captives required by cyber insurance

Yesterday, February 6, the Nihon Keizai Shimbun (online edition) reported an article titled “Internet Banking Damages Quadruple, Breaking ‘One Time Pass'” that the damage jumped 4.4 times from the previous year to 2.032 billion yen (provisional figure) in the number of victims of fraudulent deposit transfers from Internet banking accounts, according to the National Police Agency’s summary. Victims of ‘one-time password’ breaking are widespread, and the number of victims has risen to a four-year high. Financial institutions are hurrying to introduce biometric authentication, which uses faces and fingerprints to confirm the identity, in order to prevent fraudulent transfers.

The other day I visited a chemical manufacturer. One of the executives in charge of corporate planning, an old acquaintance of mine, asked me what I thought of a recently expanded cyber insurance policy that would cover expenses and compensation in the event of a leak of confidential information or data from the company due to a cyber attack. And, I replied as follows.　

1. Traditional risk management

“In fact, I was asked by a client the other day about the same thing, and after looking at the “quote”, I felt that the coverage was a bit too narrow for this premium, and that the coverage for ransomware was vague, so I wondered if this coverage made sense, so I decided to go to London Market (Lloyds’ of London and other insurance companies at The City in London) .

When I spoke with several underwriters at a number of insurance and reinsurance companies, all of them were in complete agreement with me, saying that their insurance coverage was “antique” and that they could not protect a company with this type of coverage.

In conventional risk management, all risks are mechanically classified and broadly classified and handled, such as by removing the risk and transferring the risk to others. I believe this is a weakness of traditional risk management.

When considering a Solution Captive®, Global Link considers whether there are any exclusions in the insurance policy, whether there are any internal controls that could be offset by the purchase of such insurance, and how to provide solutions to the risks that are not covered or that may be revealed.

In other words, when you buy insurance, you tend to think that you are covered and the risks in your field have been transferred to others. There is a danger of shifting our thinking to “this risk is covered, this risk has been dealt with, there are many other risks to deal with, and since this risk was dealt with, we can move on to other risks that have not been dealt with.

2. Risk transformation

In the process, they do not think about the possibility that a risk that they thought they had addressed may transform into another risk because of their inadequate response, which in turn may increase the risk. In fact, the process of risk categorization ‘Risks that once emerged are buried again, and new risks may arise.’

Furthermore, is it safe to say that the experts who represent the world’s insurance industry in the first place are ‘antique’ in terms of insurance coverage? If you say, ‘I don’t have insurance anymore, and I had to rely on insurance for my internal control system, what should I do?’ , you will be in trouble.

However, as long as you continue to follow the conventional risk management approach, it may become ‘a double-edged sword’, so it is advisable to carefully consider the introduction of such insurance under the advice of experts.

Also, If there is a limit to the amount of coverage you can get in Japan, why don’t you set up a captive and bring a wide range of overseas insurance products from an overseas reinsurance company to Japan by way of reinsurance?If there is reinsurance coverage available, I am sure Japanese property and casualty insurance companies would be willing to consider it.”

When I told this, he said, “Well, we would like to make the coverage as broad as possible if necessary, so we will positively consider it.”

3. Towards a new type of risk management

Even if the latest ART (Alternative Risk Assessment Tool) is fully used, new risks will be generated by classifying and processing risks mechanically according to the concept of risk differentiation as mentioned above. The conventional risk management approach is to arrange risks vertically and draw a horizontal response method and examine risk treatment using a two-dimensional matrix. However, the Global Link’s Risk Management is a new approach that uses a three-dimensional matrix of vertical and horizontal risks and the new risks in height that arise as a result of that approach.

“Insurance policies also contain an ‘exclusionary clause’, which is a risk, and the possibility of new risks arising from the purchase of insurance” is considered. From this point of view, the company should consider measures to deal with risks that are difficult to remove or pass on to others and must be retained by the company, and should go one step further and convert “control methods of risks to profit-making opportunities, or turn risk into profit, which is called ‘Turning Risk to Profit®’.” In other words, the Global Link’s risk management is a concept that has transformed risk management, which was once a method of risk management, into a clear business strategy.

4 Necessity of Solution Captives®

Moving this kind of advanced risk management will reveal the necessity of having own risk response measures.

The reason for this is that it is difficult for insurance companies to offer a single company-only risk management policy as insurance due to their social mission. In this regard, Western insurance companies, while recognizing their social mission from the point of view of the “self-responsibility principle”, have a strong corporate behavioral principle as a functional entity, and therefore have been actively engaged in “one-company-only risk response measures”. This is precisely the advantage of establishing a captive, as it is a “one-company-only risk measure” and is “the insurance company that best meets its own needs”.

This difference in the perception of social mission can be seen in the difference in the approach to captives: “Of the more than 7,000 captives worldwide, more than 4,000 are owned by U.S. companies and only 90 are owned by Japanese companies, which can be thought of as a difference in captive efforts.”

In the past, during the period of rapid economic growth, life-time employment systems and labor-management cooperation through in-house unions became widespread for reasons of securing human resources. Although these practices existed in pre-war Japan and in American and British capitalism, in post-war Japan they spread to most large corporations and many small and medium-sized enterprises, and were known as “Japanese-style management”. As a background, it is said that the “community orientation” and “equality orientation” that remained in Japanese society, such as the unevenness of the society, was brought into companies.

However, even the megabanks that are symbols of this trend are proceeding with restructuring plans on an unprecedented scale. The challenges they face are common to all Japanese companies, and the problems only became apparent early on in the banking industry. The current state of megabanks can be thought of as the state in five years’ time for all Japanese companies.

One of the reasons for this deeper problem is the “human resource mismatch”. Although megabanks are “cutting workloads, not personnel,” the industry does not perceive it as such. There are structural factors that explain why it is necessary to cut jobs amidst a labor shortage, and the same is true for many other Japanese companies. This is an excuse for the corporate strategy of “blaming the majority of staff for not being able to keep up with the changing times” as the business landscape is being radically transformed by advances in IT such as AI.

Summary of this issue

Today, when the principles of business behavior have changed drastically, there is a need for a change in the way all business areas are handled. The same can be said of the insurance sector. We have entered an era in which we need to move from an era in which insurance was thought of as a cost to a time in which a new corporate strategy is required, to an era in which it must be reincarnated as a profit.

We have entered an era in which “turning risk to profit®” has become a necessity. To achieve this, we have entered an era in which “Solution Captive®,” which is a risk countermeasure that targets only the company, has become necessary.

Author/translator: Shinichiro Hatani