1 記事のご紹介

「国家関与は｢戦争免責｣､サイバー保険対象厳格に　損保4社」という記事がでています。日経新聞のリンク

内容は、

国内損保大手は不正アクセスなどサイバー事故の損害を補償する保険商品で、外国政府が関与する重大な攻撃では保険金の支払いを見送る「サイバー戦争免責」の適用基準を導入する。

とのことです。

2 「サイバー攻撃免責」の概念

検索してみると主席研究員  濵田和博 「国家の関与するサイバー攻撃とサイバー保険の戦争免責条項について」という論文が見つかります。

法的には、「戦争」というのは、用語としてはありえないので、実際の用語は、別になるものと考えられます。ロイズ案では

「国家による、または国家のためにコンピュータシステムを使用し、他国の、または他国内のコンピュータシステム上の情報を混乱（disrupt）、拒否（deny）、劣化（degrade）、操作（manipulate）、または破壊（destroy）すること」と定義

されているそうです(法的には、「国家帰属サイバー攻撃免責」となりますでしょうか)。「戦争」については、

「戦争（war）」は、宣戦布告の有無にかかわらず、①国家による他国に対する物理的武力の行使、または内戦、反乱、革命、暴動の一部、および／または、②政府、公的機関、または地方公共団体による、またはその命令に基づく、軍事力、権力の奪取、没収、国有化、徴用、財産の破壊、または損害

だそうです。

「国家による、または国家のために」の解釈が問題となりますが、それについては、私の別のブログ(パイプライン攻撃事件の法的論点(国家責任・デューディリジェンス)-Colonial Pipeline事件)で触れています。

もっとも、その解釈が争われることになるだろうと思われますし、裁判で、立証も困難になるだろうと考えられます。

3 初期対応への与える影響

では、この「国家帰属サイバー攻撃免責」が、企業等に対して、どのような影響があるかということになります。

サイバー攻撃がなされた場合によくなされるコメントとして、企業のセキュリティ体制に落ち度がなかったということを協調するあまり

攻撃はきわめて用意周到、狡猾なもの

であったというコメントがあります。

そうだとすると、国家のみがなしうるものであったと認識しているのですか、となり、「そうです」と答えてしまうとこの「国家帰属サイバー攻撃免責」にあたってしまって保険の適用を受けられない、ということになってしまいそうです。

この点については、今後の検討課題ということになりそうです。