2021年のコロニアルパイプライン事件後のサイバー保険の状況について、総合的にみていこうかと思います。

特に、近時の話題としては、ロイズがサイバー保険ポリシから、国家攻撃を除外すると定めたという話があり、これについては、

• 2022年8月15日に発表された「市場連絡」(Market Bulletin)
• Lloyd’s of London defends cyber insurance exclusion for state-backed attacks
• Client Alert: Lloyd’s sets out new requirements to exclude nation state attacks from cyber insurance policies

があります。

これをみても、サイバー保険の近況が、きわめて厳しいように変割ってきていることがうかがえます。2021年の6月には、「アメリカ・インディアナ州最高裁判決－ランサムウエアへの支払いと保険金カバーをめぐる判決と議論」で検討しました。法的論点や関連する論点についての記述としては、

• パイプライン攻撃事件の法的論点 (支払うべきか、支払わざるべきか、それが問題だ) -Colonial Pipeline事件
• NotPetyaによる損害と保険の適用

などで触れています。フランスの保険大手アクサは、身代金補償契約を停止したと報道されたこと、また、ドイツにおいては、身代金補償が許されるようになったこと、身代金の支払いをカバーすることでプレミアムをつけて解決する動きが進んでいるという報道もあること、などは、「アメリカ・インディアナ州最高裁判決－ランサムウエアへの支払いと保険金カバーをめぐる判決と議論」でみたとおりであったことなのですが、その後の進展をまとめておきたいと思います。

資料としては、

• GAO “Cyber Insurance:Insurers and Policyholders Face Challenges in an Evolving Market”
• Genova Association “Ransomware:An insurance market perspective”
• Munich Re  “Cyber insurance: Risks and trends 2022”
• “Kidnap and Ransom Insurance Market Is Booming Worldwide : Lockton Companies, Chubb, Mercer”
• How Ransomware Trends Are Changing Cyber Insurance

などがあります。

Ⅰロイズが、サイバー保険ポリシから、国家攻撃を除外

ロイズがサイバー保険ポリシから、国家攻撃を除外すると定めたという話が注目すべきものといえるでしょう。

2022年8月15日にに発表された「市場連絡」(Market Bulletin)では、保険市場におけるシステミック・リスクを制限するために、保険市場で契約されるサイバー保険に国家が支援する攻撃に対する免責条項を設けるという要件が、2023年3月末から単体のサイバー保険に適用されることとされています。これを詳しく見ていくと

ロイズはサイバー攻撃カバーの作成を強く支持しているが、サイバー関連ビジネスが進化し続けるリスクであることも認識している。適切に管理されない場合、シンジケートが管理するのに苦労するようなシステミックリスクに市場をさらす可能性があります。特に、敵対的な行為者が攻撃を容易に広めることができること、有害なコードが拡散すること、社会が物理的な資産を運用することも含めてITインフラに重大な依存をしていることは、保険市場が吸収できる損失を大きく上回る可能性を持っていることを意味します。

このため、私たちは一貫して、アンダーライターが提供するカバーについて明確な表現が必要であることを強調してきました。2020年以降、段階的に、すべての保険に、サイバーカバーが肯定的なカバーを含むか、除外するかのいずれかを明記するよう求めました（Market Bulletin Y5258を参照）。Prudential Regulation Authorityも同様に、Cyber insurance underwriting risk (July 2017); Supervisory Statement 4／17でサイバービジネスに関する期待を示しています。

としています。

戦争リスクについての記載がなされているのは、前提になりますが、それに加えて

しかし、国家的行為者が関与するサイバー攻撃リスクには、検討を要する追加的な特徴がある。特に、サイバー攻撃リスクを書く場合、アンダーライターは国家が支援する攻撃が物理的な武力を伴う戦争以外で発生する可能性を考慮する必要がある。このような攻撃が引き起こす損害とその拡散能力は、保険会社にとって同様のシステミック・リスクを生み出す。

我々は、市場の多くの管理代理店が、戦争と戦争以外の国家的なサイバー攻撃の両方から生じるサイバー攻撃の被害を除外するために特別に調整した条項をすでに保険契約に盛り込んでいることを認識しています。しかし、私たちは、このクラスで契約するすべてのシンジケートが、適切な水準で、堅牢な文言でそうしていることを確認したいと思います。我々は、戦争や非戦争、国家による攻撃という文脈でサイバー攻撃エクスポージャーから生じ得る複雑さは、アンダーライターがその文言が十分に強固であることを確認するために法的に見直すべきことを意味すると考えています。

としています。

「スタンドアローン(独立型)でのサイバー攻撃ポリシにおける排除の要件」においては、明確な用語が必要であるとして、

したがって、リスクコードCYおよびCZに該当するすべての独立型サイバー攻撃保険は、ロイズが同意しない限り、以下に示す要件に従って、国家が支援するサイバー攻撃から生じる損害に対する責任を除外する適切な条項を含めなければならないことを要求しています。この条項は、戦争に関する免責条項（同じ条項の一部を構成することも、別の条項とすることもできる）に追加するものでなければなりません。最低限、国家によるサイバー攻撃の除外は以下の通りでなければなりません。

1. 本保険に個別の戦争免責条項がない場合、戦争から生じる損失を除外する（宣戦布告され たか否かを問わない）。

2 (a) 国家の機能を著しく損なう、または (b) 国家の安全保障能力を著しく損なう、国家が支援するサイ バー攻撃から生じる損失を除外する（3 を条件とする）。

3 国家が支援するサイバー攻撃により、上記 2(a)、(b)のような影響を受ける国家の外にあるコンピュ ータシステムを補償の対象から外すかどうかを明確にすること。

4. 国家によるサイバー攻撃をどのように1つまたは複数の国家に帰属させるかについて、当事者 が合意するための確固たる根拠を示す。

5. すべての重要な用語が明確に定義されていることを確認する。

さらに、適切な除外条項を作成する際に起こりうる複雑さを考慮すると、幹事会社は、これらの除外条項が引受人の利益を考慮して法的に検討されていることを示すことができなければなりません。

2023年度のアカウントビジネスプランニングプロセスでは、スタンドアローンのサイバー攻撃保険で使用するために合意する条項について、幹事代理店と協議する予定です。幹事代理店は、採用する約款が上記の要件を満たしていることを証明することが期待されます。幹事会社がこのガイダンスに示された要件から外れることを望む場合は、そのアプローチについてしっかりとした説明を行い、ロイドから合意を得る必要があります。

とされています。

この要件に従ったモデル上古が、LMA(ロイズ・マーケット協会)から公表されています。 この上の要件は、2023年3月31日から実施されるとされています。

 国家支援攻撃除外の影響について

このニュースに対しては、国家支援型のサイバー攻撃であるか、というのを判断するのがきわめて困難であろうという評価がなされています。

FTの「ロイズ・オブ・ロンドンが、国家背景の攻撃から、サイバー保険を防護する」(Lloyd’s of London defends cyber insurance exclusion for state-backed attacks)という記事では、

法律事務所Cohen Ziffer Frenchman & McKennaのパートナーであるCindy Jordanoは、攻撃が国家の後ろ盾によるものかどうかを判断するのが難しいことから、この動きによって「他の方法では補償の対象となる特定のサイバー攻撃に補償が与えられるかどうかについて曖昧さが生じる」可能性があると述べています。また、「これらの免責条項をめぐって重大な訴訟が起こる」可能性もあると予測しています。

となっています。また、CorderyのClient Alert: Lloyd’s sets out new requirements to exclude nation state attacks from cyber insurance policiesでは、

• 戦争除外条項は、伝統的なものであること
• ロシアのウクライナ侵略による問題が発生していること
• 上に伴って、保険業界は、用語をさらに厳格にしていること
• ロイズのアナウンスは、この流れに従っていること
• 現在、プレミアムが、上昇中であること
• 実際の問題はどのようにして、国家支援であることをするか、ということであること
• 制裁対象の個人もしくは団体への支払は、国家支援であることの証拠となりうること
• 企業の広報担当が、「狡猾な(sophisticated)国家支援のゼロデイ攻撃」であるということは、保険を拒絶する理由となりうること
• 保険金の支払の遅れうる原因となりうること

の分析をしています。その上で、

• トレーニング
• リスクの上昇の認識をすること
• リハーサルをすること
• 契約を詳細に検討すること
• 支払うかどうかも含めて事前に検討しておくこと

が推奨事項として触れられています。

Ⅱ GAO “Cyber Insurance:Insurers and Policyholders Face Challenges in an Evolving Market”

これは、GAOから2021年5月に公表された「サイバー保険 発展するマーケットで、保険会社および政策担当者の直面する課題」(“Cyber Insurance:Insurers and Policyholders Face Challenges in an Evolving Market”)という報告書です。上のエントリで示したのよりデータとしては古いですが、見ていなかったので、ちょっとメモします。

背景

これは、悪意のあるサイバー活動は、連邦政府や国内の企業、重要インフラに大きなリスクをもたらし、米国では毎年何十億ドルものコストがかかっています。脅威となる行為者の攻撃能力はますます向上しており、安定したサイバー保険市場の必要性が浮き彫りになっています。

2021年会計年度の国防権限法には、GAOが米国のサイバー保険市場を調査する条項が含まれています。本報告書では、（1）現在のサイバー保険市場の主要な動向、（2）サイバー保険市場が直面する特定された課題とそれに対処するための選択肢について説明しています。

この作業を行うため、GAOはサイバー保険契約に関する業界データを分析し、研究者、シンクタンク、保険業界のサイバーリスクとサイバー保険に関する報告書を検討し、財務省の担当者にインタビューを行いました。また、サイバー保険会社を代表する2つの業界団体、保険会社に契約言語サービスを提供する団体、および大手サイバー保険会社1社にも聞き取り調査を実施しました。

GAOの調査結果

1 動向

現在のサイバー保険市場の主な動向は以下の通りです。

加入率の上昇。

グローバルな保険ブローカーのデータによると、その顧客のサイバー保険への加入率（既存顧客のうち保険を選択する割合）は、2016年の26％から2020年には47％に上昇した（図参照）。

価格の上昇

業界筋によると、価格の上昇は、より頻繁で深刻なサイバー攻撃による需要の増加と保険会社のコスト上昇と一致している。保険ブローカーを対象とした最近の調査では、回答者の顧客の半数以上が、2020年後半に価格が10～30%上昇すると見ています。

補償限度額の引き下げ

業界関係者はGAOに対し、サイバー攻撃の増加により、保険会社は医療や教育など一部の業界セクターの補償限度額を引き下げたと語った。

サイバーに特化した保険

保険会社は、サイバーリスクを他の補償とセットで提供するのではなく、サイバーリスクに特化した保険を提供するようになってきている。この変化は、カバーされる内容をより明確にし、サイバー特有の補償限度額を高くしたいという要望を反映したものである。

2 課題

サイバー保険業界は複数の課題に直面しており、業界関係者はこれらの課題に対処するための選択肢を提案している。

損害に関する過去のデータが限られている。

サイバー損害に関する包括的で質の高いデータがなければ、サイバー攻撃による潜在的な損失を見積もり、それに応じた保険価格を設定することが困難な場合があります。一部の業界関係者は、連邦政府や州政府と業界が協力して、リスクを評価し、サイバー保険商品を開発するための事故データを収集・共有することが可能であると述べています。

サイバー保険には共通の定義がない

業界関係者は、「サイバーテロ」のような保険用語の定義が異なるため、何が補償されるのかが明確でないことを指摘しています。連邦政府、州政府と保険業界が協力して、共通の定義を進めることを提案しています

Ⅲ Genova Association・Ransomware:An insurance market perspective

1 背景・構成

ジュネーブ協会(Genova Association)は、1973年に設立された世界唯一の保険会社の団体で、保険・再保険会社の最高経営責任者（CEO）を会員としています。

当協会の使命は、会員、学術機関、多国間組織と協力して実施した厳格な調査に基づいて、将来の保険業界を形成または影響すると思われる主要なトレンドを特定・調査し、業界にとって何が問題であるかを明らかにし、業界および政策立案者に向けた提言を作成し、会員やその他の関係者がこれらのトレンドや提言について話し合う場を提供し、世界のオピニオンリーダーや有力組織に働きかけ、リスクの理解を深め、強靭で豊かな経済・社会の構築、ひいてはより持続可能な世界の構築に向けた保険のプラスの貢献が重要であると訴えることです。

この報告書は、1 エグゼクティブサマリー、2 序、3 近時のランサムウエア攻撃の概観、4 ランサムウエアによる社会的課題、5 ランサムウエアとその保険に関する保険発行者/再発行者の観点、6 結論から成り立っています。

2 序について

サイバー犯罪のコストが世界のGDPの1パーセントを越えていること、過去2年間、サイバー保険会社の引受成績が顕著に悪化しているのは、ランサムウェア攻撃が大きな要因となっています。信用格付機関AM Bestによると、米国のサイバー保険の損害率は全体で2019年の44.6％から2020年には66.9％に上昇し、ランサムウェアが請求の4分の3を占めたとされています。

ランサムウェアの請求の大部分は、事業の中断を含む攻撃からの復旧・修復コストを反映しているが、身代金の払い戻しに関連するシェアが増加していること、支払われた額の30パーセント前後が支払に関する額・費用であること、が報告されています。

3 近時のランサムウエア攻撃の概観

最近の指標では、身代金請求の環境には大きな改善は見られず、身代金請求は依然として主要な要因となっています(3.1)。サイバー保険会社の損害率は、昨年のサイバー保険価格の急騰にもかかわらず、2021年も高水準で推移しています。

暗号化、侵入、破壊、いやがらせなどの手段を用いて、恐喝をする(3.2)。また、ランサムウエアのエコシステムも進化をしています(3.3)。ランサムウエア・アズ・ア・サービスモデルによって攻撃者は、出来合いのツールをサービスを理由することができるようになっている。また、専門家の役割を勤める「従業員」を維持しうるようになっている。また、ランサムウエアの攻撃の重要な役割がファシリテーターとしてビットコインがあります。

4 ランサムウエアによる社会的課題

身代金を支払うことで、企業はランサムウェアの犯罪者を刺激し、その過程で自社や他者に対する将来の攻撃のリスクを増幅させる可能性もあるという意味で、経済的外部性を有することになります。ランサムウェア攻撃の被害者が保険に加入しているかどうかにかかわらず存在しますが、外部のコメンテーターの中には、保険の存在が、保険加入者を標的としたランサムウェア攻撃を助長し、状況を悪化させる可能性があると懸念している人もいます(4.1)。

また、各国政府は、要求される身代金がサイバー保険の保険金額に合わせて設定されることが多いことを強調し、保険がランサムウェアの強奪に意図しない影響を与える可能性を示唆しています。つまり、身代金を支払うことで、より多くのランサムウェアを助長し、将来の恐喝要求を増大させるという点で、被害者企業が他者に課すコストを認識できるように、政府が追加の法律、規制、税金をどの程度使用できるのか、ということです。実際には、簡単な解決策はなく、意図しない結果を招く可能性があるため、重要なトレードオフを伴う対策が必要になることがよくあります。例えば、身代金の支払いを全面的に禁止すると、そのような取引が地下に潜ることになり、ランサムウェアの攻撃者が次のような行動を取るようになる可能性もあります。また、要求が満たされない場合、財産の破壊や身体への傷害を引き起こすという脅迫を含む、新しい形態の強要が行われています。経済的外部性の問題は、ランサムウェアに限ったことではありません(4.2)。

同様の問題は、誘拐と身代金（K&R）保険の文脈でも発生する。K&R保険会社は、身代金を安定させるために、情報交換と解決のための標準的なアプローチを奨励する市場慣行を発展させてきた。サイバー保険の市場も集中しているが、身代金の基準を逸脱した再保険会社に制裁を科すことはおろか、攻撃に関する情報を共有する仕組みも限られています(4.3)。

5 ランサムウエアとその保険に関する保険発行者/再発行者の観点

保険会社は、サイバー攻撃で発生した保険金の全額を被害者に補償することで、契約者がコントロールできない損害を被った場合、その損害を補償するという約束を履行することになります。また、保険会社は引受プロセスの一環として、組織のサイバー防御の弱点を明らかにし、セキュリティ強化のためのガイダンスを提供します。このような保険の基本的な目的は、サイバー犯罪者がランサムウェア攻撃を行う際の潜在的な逆インセンティブと比較検討される必要があります。このため、ランサムウェアへの対処方法について、再保険会社の見解を常に議論の対象とすることが重要です。

そこで、ジュネーブ・アソシエーションの会員企業のうち、サイバー保険に積極的に取り組んでいる企業に対して、再保険会社の立場から調査およびインタビューを実施しました。主な調査結果は以下のとおりです。

•  身代金の支払いを禁止することは、鈍感であり、効果がない可能性があります。標的となった企業による身代金の支払いを禁止したり、再保険会社による払い戻しを禁止すれば、おそらく一部の攻撃を阻止することができるだろう。しかし、このような鈍い政策対応は、特に禁止が国際レベルで一貫して適用されない場合、必ずしも望ましい効果をもたらさないかもしれない。(5.1)。
• サイバー保険は身代金を補償するだけではない。身代金の支払いが禁止されたとしても、ほとんどの再保険会社は怯むことはありません。特に、サイバー保険は専門家を招集して事件を評価し、タイムリーな対応を推奨するための重要なメカニズムとして機能するため、その価値提案は維持されるでしょう(5.2)。
•  外部の専門家の関与は、被保険者にとってより良い結果をもたらす。独立した専門家は、被害を受けた組織がランサムウェア攻撃について十分な情報を得た上で判断し、より良い交渉ができるよう支援し、実際に支払われる身代金を引き下げる可能性もあるが、ランサムウェア攻撃への対応の選択は最終的には被害者が決めることである(5.3)。
•  保険は、全体的なサイバーハイジーン(衛生)基準の向上に役立ちます。保険は、攻撃の際に被保険者をサポートするだけでなく、保険料の割引、共同保険、保有契約、補償限度額などを通じて、優れたサイバー衛生とリスク予防を奨励する重要な役割を担っており、これらはすべて、企業全体のセキュリティ基準に従って企業間で異なる可能性があります(5.4)。
•  政府および規制当局は、ランサムウェア攻撃への対策をさらに進める必要があります。ランサムウェア攻撃の抑止、サイバー犯罪者のビジネスモデルの破壊（暗号通貨を利用した資金洗浄を含む）、侵入に対する組織の準備の改善、攻撃への効果的な対応を目的とした政策は、サイバースペースのセキュリティを向上させ、正規企業がサイバー敵対者に対して優位に立てるよう支援するものです。

6 結語

ランサムウェアに特効薬はありません。根本的な要因を減らし、その影響を抑え、ビジネスの回復力を確保するためには、多面的なアプローチが必要になります。そのため、サイバー保険はソリューションの不可欠な一部と見なされるべきです。一部の国では、身代金要求の全面的な禁止や制限が引き続き議論されていますが、そうした法改正にはかなりの議論があり、最終的には法令集に載らないかもしれません。その代わり、各国政府は、ランサムウェアの増加に対抗するために、セキュリティ対策を強化する方向でまとまりつつあるようです。これには、犯罪に対する理解を深め、破壊活動の的を絞るための情報公開法の更新、犯罪者による暗号通貨の不正利用を困難にする規制強化、法執行機関間の国際協力の強化など関係者間で脅威情報を交換するための効果的な仕組みや制度構造、サイバーセキュリティのベストプラクティスを推進し、ソフトウェアのサプライチェーンにおける脆弱性に対処する措置が含まれます。

サイバー保険市場はまだ小さく、始まったばかりです。保険料は世界の損害保険市場の1％未満であり、この種の保険に加入しているのは中小企業の約3分の1に過ぎないという報告もあります。したがって、市場のさらなる発展を助けるために、政策立案者は、家計や企業のサイバー保険への加入を不用意に抑制するような措置を避けるべきである。その代わりに、サイバースペースの保護、サイバーセキュリティの推進、サイバー犯罪者のビジネスモデルの弱体化を目的とした政策は、マルウェア攻撃への対策に役立ち、再保険会社のサイバーリスクへの対処能力が低い人たちからの吸収意欲を高めることになります。

Ⅳ ミュンヘン再保険「グローバルサイバーリスクおよび保険調査2022」

この報告書は、サイバーセキュリティと保険のニーズが着実に高まっていること、ミュンヘン再保険は、世界のサイバー保険料を92億ドル（2022年初頭）と推定し、2025年には約220億ドルに達すると予想していること、保険格差が不釣り合いに大きいことなどを基本的な認識としています。そして、リスク認識と保護対策の実施とのミスマッチ、より大きなリスクに対するキャパシティ拡大の必要性は、保険業界全体にとってますます厳しくなる環境において、依然として現実的な課題となっています。2021年は、このミスマッチの好例となっています。2021年は、サプライチェーンや重要インフラを標的とした複数のランサムウェア攻撃が発生した年でした。このような広範な攻撃や新たに発見されたセキュリティの脆弱性により、一般市民やビジネス、政治の意思決定者の間で意識が高まり続けています。さらに、あらゆる方面から国家的なサイバー攻撃が行われる可能性があり、保険加入の限界にさらなるプレッシャーを与えていますという認識のもと、企業や個人が適切なサイバーソリューションやサービスを採用する上での主な障害と、サイバー対策に関して世界経済が直面する痛点を理解することが課題になっているとして、これらの疑問について直接洞察し、市場における現代のサイバー保険ソリューションに関する一般的な知識レベルを評価するために、ミュンヘン・リーは「グローバル・サイバーリスクと保険に関する調査」を拡大し、現状を代表する概要を把握しました。

この調査は、14カ国、あらゆる業界、企業規模から7,000人の参加者を得て、リスク認識、企業や個人の脅威へのエクスポージャー、カバー要素やサービスを含むサイバー保険の役割というトピックを取り上げています。

1 マネージメントサマリー、2 コマーシャル サイバー リスク意識、3 サイバー脅威の風景、4 コマーシャル サイバー保険、5 保護手段-インシデント前後のサービス、6 個人生活におけるサイバーセキュリティ、7 サイバーレジリエンスの増大、8 調査の手法、が本報告書の構成です。

サマリーを見ていきます。

---

ビジネスと生活のほとんどの領域でデジタル化が進んでいます。そして、調査対象となったすべての企業は、新しいスマートテクノロジーに、より強く注目しています。技術的な推進要因のリストでは、5G、クラウドサービス、人工知能、データ分析が筆頭に挙げられています。インドや中国、南アフリカ、ブラジルといったIT志向の高い国々が、デジタル化に最大の可能性を見出している国のリストをリードしています。5G、クラウドサービス、AI、データ分析などのデジタルトレンドを自社のビジネスに関連性がないと考えるCレベル関係者は、調査対象のわずか12％にとどまりました。

こうした動きに伴い、セキュリティの脆弱性やサイバー攻撃も増加傾向にあります。グローバルレベルでは、オンライン詐欺、ランサムウェア、データ盗難などの攻撃は、当社のデータが示すように、前年比で増加しています。

調査対象の管理職の意識は、自身が経験したインシデント以外にも、2021年のグローバル調査から10％近く上昇していますが、脅威の状況や適切に対処するために何をすべきかという認識は、国によってまだ大きく異なっています。その結果、保護対策は相対的に低い水準にとどまっています。例えば、調査対象の代表者の83％が「自分の会社はデジタル脅威に対して適切に保護されていない」と回答しています。ビジネスモデルがますますデジタル化に依存し、関連する脅威に対する認識が高いことを考えると、この高い数値は驚きです。対策が必要なことは明らかです。

一方、前年度と比較すると、サイバー保険に加入している企業が21％増加するなど、サイバー保険の普及が進んでいるようです。また、現在、調査対象の意思決定者の35％が、リスクマネジメントに不可欠なものとしてサイバー保険への加入を検討しています。調査によると、サイバー保険への関心は分野横断的である。しかし、米国のような成熟したサイバー市場においても、デジタル脅威や潜在的なサイバーインシデントに対するセキュリティソリューションや保険による保護について知るために、保険会社と接触したことがない回答者がまだ非常に多くいます。保険業界は、まだ一般的にソリューションの一部として認識されていないのです。

この状況は、私生活においても変わりません。ここでは、リスク認識と保険未加入の間の不一致がさらに大きくなっています。サイバー攻撃がもたらす広範な影響については、ほとんどの個人の意識に浸透していないと考えざるを得ません。多くの人は、ハッカーにとって自分は魅力的ではなく、セキュリティ侵害の潜在的な影響は軽微であると考えているのだろう。

全体として、本調査の包括的なアンケートへの回答は、世界の保険業界がサイバーリスクをより可視化し、条件をより理解し、商品をより評価しやすくするための努力を強化する必要性を強調しています。適切なリスク管理はサイバー保険の前提条件であり、すべてのステークホルダーにとって大きな課題となっています。ひとつだけはっきりしていることは、デジタル・ディスラプションは世界レベルで進行し、関連する依存関係も膨大に進んでおり、十分な備えをしていない人々には容赦がないということです。これに対し、保険業界は、急速に変化するリスク状況に適応する包括的なソリューションによって、お客様に真の付加価値を提供できることを証明してきました。特にミュンヘン再保険は、サイバー再保険のリーディングカンパニーとして常にイノベーションを続けています。元受保険会社や企業に対して、長年の専門知識、洗練されたソリューション、そして適切な補償を提供しています。以下の章では、調査結果についてさらに詳しく説明します。国別の包括的な洞察や当社の商品・サービスに関する詳細については、担当のクライアント・マネージャーまたはミュンヘン再保険の部門横断的なサイバーエキスパート・チームにお問い合わせください。

---

4 コマーシャル サイバー保険

上のなかで、4 コマーシャル サイバー保険をみます。

4.1 サイバー保険が提供されましたかという質問に対して、

サイバー保険が提供されましたか	2021年	2022年
はい。	34パーセント	43パーセント
いいえ	40パーセント	33パーセント

その結果、管理者レベルの参加者の35％が自社でサイバー保険を検討していることがわかりました。このことは、保険業界にとって大きなビジネスの可能性を示しています。

4.2 あなたの会社はサイバー保険ポリシに加入しましたか

私の会社は、保険加入を検討したが、加入はしなかった	10パーセント
私の会社は、保険加入を検討したが、加入しようとしている	35パーセント
私の会社は、保険加入しておらず、参加することもない	10パーセント

調査対象者は、前年度よりも若干多く、「すでにサイバー保険に加入している」と回答しています。しかし、需要や公式な市場規模は確かに増加しているものの、世界全体の市場規模を見ると、普及率は5％以下と推定され、依然として大きな保険格差があることがわかります。また、20%の回答者は、サイバー保険に加入しない、または保険について全く検討していないとのことです。

4.3 サイバー犯罪によって影響された会社

 

 

データを詳しく見ると、高収益の大企業は、サイバー攻撃のリスクと全体的なサイバー保険のメリットを特に意識していることがわかります。ここでは、保険契約を断念した人の割合が著しく低くなっています。売上高50億ドル以上の企業では、サイバー保険を明確に断ったのは4％、全く検討もしなかったのは5％に過ぎません。

4.4 サイバー保険に加入しない理由

サイバー保険に加入していない管理職レベルの回答者の多くが、ホリスティック・サイバー・ソリューションが提供する機会を全く認識していないようであることを考慮すると、ここにも未開拓のビジネスチャンスが存在することになります。

「サイバー保険の存在を知らなかった」（25％）、「商品を理解していない」（22％）と回答しています。また、特に中小企業では、リスク移転ソリューションに関する知識不足が40％近くと最も高い。しかし、平均的な損害額を考慮すると、費用対効果の計算では、特に中小企業セグメントにおいて、サイバー保険のソリューションがより有利であることは明らかです。これらの数字は、あいまいさを避けるために、より多くの文言を標準化する必要性を強調しています。保険業界は、自社のソリューションを市場にもっと説明する必要があることは明らかです。一方、サイバー攻撃の影響を最も多く受けるIT（33％）、ヘルスケア／ファーマ（29％）、金融（30％）は、保険契約締結額が最も高いというポジティブな側面もあります。また、保険加入の具体的な検討状況としては、製造業が44％と最も高い値を示しています。特に近年、ランサムウェアやサプライチェーンへの攻撃が増加していることから、この業界では脅威の状況への対応を迫られているようです。