FIC 2020 EU企業はオンライン資産への攻撃に対する保険に加入していないが、これは保険を販売する企業が十分に組織化されていないためである。一方、英国人は他の国よりもランサムウェアの犯罪者に身代金を支払う傾向がある。
企業がオンライン攻撃を受けた場合に保険金が支払われる保険は、扱いが難しい問題です。保険業界にとって参入しやすい事業分野であることは明らかですが、先週フランスで開催された国際サイバーセキュリティフォーラム(Forum international de la cybersécurité)のパネルディスカッションでは、サイバー攻撃保険の提供が保険会社に及ぼすリスクに関する公開情報が不十分であるという意見が聞かれました。
サイバー法の専門家、NotPetya 保険の批判に目を細める: ネットワーク ハッキングに「戦争除外」条項を適用すべきか?
続きを読む
いわゆる「賢人委員会」*によってEU域内の保険会社を規制するために設置されたEU機関、欧州保険・年金機構のエドワード・サムソム氏は、ランサムウェアやハッカーの世界に足を踏み入れるだけでもそれ自体がリスクであると指摘した。
同氏は、「保険会社の観点から見ると、運用上のリスクがある。セキュリティ面から見ると、保険会社はサイバーセキュリティに関して市場で最も脆弱な企業の一つかもしれない」と述べた。
サムソン氏と共に講演したのは、保険会社ヒスコックスのフランス支社のフレデリック・ルソー氏だった。ルソー氏は通訳を通して、保険業界の初期の「一貫性の欠如」を嘆き、「5、6年前」の潜在顧客は「市場が統一された意見を持っていなかった」と明かした。EU市場が保険金支払いの対象と対象外の保険金支払い対象を明確に説明できなければ、潜在顧客は保険商品に支払う可能性が低くなるとルソー氏は主張した。
訴訟による支払い回避
「何が補償されるか」という議論は、サイバー事件の後に保険会社が保険金支払いを逃れるために自社の顧客を相手取って起こした数々の注目を集めた訴訟によって、はっきりと浮き彫りになった。
ルクセンブルクの業界団体「Security Made in Luxembourg」のパスカル・シュタイヘン氏も同意見で、「この市場が未成熟であることは誰もが認識していると思います」と述べた。しかし、保険会社が自社の顧客を攻撃的に扱うことで顧客離れが起きていると指摘し、「サイバー攻撃を受けた後、『いかなる場合でも保険金は支払われない』といった条項を保険会社が恐れているとは思えません」と述べた。
保険契約の履行に対する不安感の1つは、これらの商品を提供する保険会社が、損害賠償請求を受けた場合の損失額がどの程度になるか確信が持てないことにある。フランスの保険ブローカー、ベッセのクリストフ・マデック氏は、次のように述べている。「自動車保険の賠償責任保険では、賠償責任額は明らかです。しかし、サイバー保険の場合は、もう少し曖昧です。」
サムソム氏はうなずき、保険会社にとって「最も重要な目標」の一つは「保険料の慎重な計算」と高額の支払いに対する「慎重な準備金」を持つことであるべきだと付け加えた。「カバーするのが非常に難しいリスクがあるかもしれないことは想像できる」
他の保険会社は、戦争が始まった場合には保険金を支払わないことを意図した条項を適用することで、保険料の支払いを逃れられるかどうか検討している。
ルソーは後にこう述べた。「イギリス人は、身代金を支払うことの方が重要だと言うでしょう。なぜなら、理由を選ばなければならないからです。もし、その問題に間に合うように対処できなければ、保険の利益を打ち消すほどの強力な制裁を課すことはできないでしょう。市場の他の部分は、『身代金を支払うべきではない』と言うでしょう。保険会社はそれぞれ異なるアプローチを取っています。」
マデック氏は肩をすくめて議論を締めくくった。「保険に関するあらゆる問題に言えることですが、私たちはもっと知識を深めなければなりません。」®
ブートノート
* EIOPAのウェブサイトの「概要」ページに記載されているように、政策立案におけるアドホックな専門家グループを指すやや時代遅れの用語です。「欧州保険・年金監督機構(EIOPA)は、欧州連合(EU)における金融セクターの監督構造改革の結果として設立されました。この改革は、ジャック・ドゥ・ラロジエール氏が議長を務め、欧州理事会と欧州議会の支持を得た賢人委員会の勧告を受けて、欧州委員会によって開始されました。」
私たちは、ひげ、ローブ、節くれだった棒がこの過程に大きな役割を果たしたと想像しています。
