個人情報漏洩保険とは?サイバー保険との違いや事故事例!おすすめの保険会社は?
インターネットの普及は消費者にとって大きな便益をもたらしました。
企業にとっても業務効率化に活用でき、経済成長にも寄与しました。一方で、企業は情報の漏えいリスクに、より一層注意しなければならなくなったことも事実です。
企業は情報を流出させてしまうと、被害者に対して様々な責任を負うことになります。
その際に適切な対応ができないと、企業イメージのダウンや取引先との取引停止にも発展しかねません。
そのようなリスク対策のひとつとして、個人情報保険に加入することは最も有効な手段のひとつです。
今回の記事では個人情報保険について、質問に対する回答を通じて解説していきたいと思います。
目次 [表示]
質問:個人情報保険とはどんな保険?
とあるECサイトを運営している者です。コロナ禍を契機としたリモートワークの導入等もあってか、自宅時間も増えスマホを見る時間が増えたことでサイトの売り上げを伸ばしています。
しかし取り扱う個人情報の数が大幅に増えたので情報流出リスクが心配で個人情報漏えい保険への加入を検討しています。
個人情報保険とはどんな保険なのでしょうか。どんなときに保険金がおりるのか、といった補償内容も含めて教えてください。
回答:個人情報を漏えいさせてしまった被害者への損害賠償金の支払をする
個人情報が漏えいしたこと、または漏えいのおそれが生じたことによって、企業は個人情報を漏えいさせてしまった被害者への損害賠償金の支払いや、企業ブランドの価値低下を防ぐための措置(謝罪会見・謝罪広告の掲載等)が必要となります。
個人情報保険では、そのような措置に必要となる費用負担のリスクをカバーします。
具体的な補償内容は各保険会社によって特徴が出るところです。
ここではある大手損害保険会社の取扱商品を例として、補償内容を紹介します。
個人情報保険は費用部分、賠償部分の2つのポイントで構成されています。
費用部分
ここではセキュリティ事故が実際に発生した場合に対応するために支出した以下の費用を補償します。
・サイバー攻撃対応費用・・・コンピューターシステムの遮断やサイバー攻撃の有無を確認するために要した費用。
・原因調査費用・・・セキュリティ事故の原因や被害範囲の調査、証拠保全のために支出した費用。
・相談費用・・・弁護士やセキュリティ事故の専門家への相談に要した費用。ただし、支出に際しては事前に契約保険会社の同意を得ることが一般的です。
・システム復旧費用・・・セキュリティ事故によって消失・改ざんされてしまったデータ・ソフトウエア・プログラム等を復旧する費用。
・再発防止費用・・・似たようなセキュリティ事故による損害を防止するために支出する必要かつ有益な費用。
・訴訟対応費用・・・事故に起因して提起された損害賠償請求訴訟に対応するために直接必要となる費用。従業員の時間外勤務手当、事故対応のために発生した交通費・宿泊費、増設したコピー機のリース代、公的文書の作成費用等が該当。
・その他事故対応費用・・・その他、事故対応に起因して発生した費用で、保険会社が必要かつ有益と認めたもの。
賠償部分
ここでは情報漏えいが発生したことによって、法律上の損害賠償責任を負担することによって被る損害補償します。
具体的には下記の内容となります。
・法律上の損害賠償金・・・情報漏えいの被害者に対して支払の責任を負う損害賠償金。
・争訟費用・・・損害賠償責任に関する訴訟や示談交渉に際して、契約保険会社の同意を得て支出した弁護士費用や訴訟対応費用。裁判に限らず、示談や調停に関する費用も含みます。
・協力費用・・・契約保険会社が保険契約者に代わって事故の解決にあたる場合で、契約者が保険会社に協力するために必要となる費用。
以上が一般的な個人情報保険の補償内容です。
保険会社によっては、特約を付帯することで事故の発生に起因して逸失してしまった利益部分にまで補償範囲を拡張することもできます。
詳細は必ず保険会社に確認するようにしましょう。
質問:個人情報保険とサイバー保険との違いは?
個人情報保険に加入しています。先日保険会社の営業担当者よりサイバー保険の案内を受けました。
見積もりの提示も受け、サイバー保険の方が保険料が高かったので、とりあえずサイバー保険の加入は見送ったのですが、正直2つの保険の違いがわかりません。
どのような違いがあるのでしょうか。
回答:個人情報保険とサイバー保険の違いは補償範囲の広さ
個人情報保険とサイバー保険における大きな違いは、補償範囲の広さです。
個人情報保険では、個人情報の漏えい(またはそのおそれ)に関連した事故を補償しているのに対し、サイバー保険では、情報漏えいを含むサイバー事故を包括的に補償します。
たとえばサイバー攻撃を受けたとします。
その際、情報の漏えいが発生していないことが明らかな場合やデータベースの復旧のために生ずる費用というのは、サイバー保険では支払い対象となっても、個人情報保険では対象とならないのです。
サイバー保険では個人情報保険で対応するリスクを含んで広く補償範囲が設定されているので、保険料の予算がある程度確保できるのであれば、サイバー保険の方がおすすめです。
実際にサイバー関連の事故が発生した際、個人情報保険だけでは事故において発生した損害額をカバーしきれないことがほとんどだからです。
その他、保険会社にもよりますが、個人情報保険に比較してサイバー保険の方が各種コンサルティングサービス等の付帯サービスが充実しています。
自社の業種におけるリスクを考慮して、個人情報の漏えいリスクに特化して対応するのか、情報漏えいを含む幅広いリスクに対応すべきか、適切に判断することが大切です。
質問:情報漏えい事故が起こったら何をすべき?事故事例についても教えてください。
個人情報漏えい保険に加入しています。幸いなことに、いまのところ情報の漏えい事案もなく保険のお世話になっていませんが、いざ事故が起こった場合にどのような対応をしたらよいのかわからず、不安な気持ちはあります。
事故が起こったら何をすべきなのでしょうか?
また情報漏えい事例についても教えてもらいたいと思います。
回答:事故が起こった際、初動対応がなにより大切です。
事故が起こった際、初動対応がなにより大切です。
ここでの対応が遅れたり誤ったものであったりすると、損害が拡大してしまいます。ここでは対応のひとつのモデルケースを紹介します。
2.情報漏えい対策本部の設置3.損害範囲や原因の調査を開始
4.個人情報保護委員会(※)への報告
5.世間への公表、謝罪等
6.問い合わせ対応窓口、コールセンターの設置7.被害者へ連絡、謝罪、見舞金対応
8.再発防止策の策定、行政機関への報告
9.事後対応(損害賠償が提起された場合の対応など)
※個人情報保護委員会・・・個人情報保護法に基づき設置された、内閣総理大臣の所轄に属する行政委員会。個人情報の有用性に配慮しつつ個人の権利利益を保護するために個人情報の適正な取り扱いの確保を図ることをその任務とする。
大まかには上記の流れにそって対応を進めることになります。
なお、システム関連部署への報告と同時に保険会社への損害報告もしておきましょう。
対応方法については保険会社からアドバイスを受けることができますので、随時相談しながら対応することができます。
実際の損害事例についても下記に紹介します。
実名は伏せますが、情報漏えい件数は年々増加傾向にあります。
下記の事例を参考に補償を検討してみてください。
業種:出版業
詳細:運営しているwebサービスにランサムウェア攻撃を受ける。顧客個人情報の漏えいが発覚。
原因:ランサムウェア攻撃
業種:保険業
詳細:契約者の個人情報の流出。
原因:サーバへの不正アクセス
業種:学校
詳細:学生の個人情報が保存されたUSBデータを学外に持ち出した際、USBを紛失してしまう。
原因:ヒューマンエラー
業種:メーカー
詳細:情報管理システムへ不正アクセスを受け、取引先企業の担当者氏名や所属部署、メールアドレス等、保有する情報が漏えいしてしまう。
原因:サーバへの不正アクセス
業種:通信
詳細:元派遣社員が取引先から預かって管理していた顧客情報を不正に持ち出してしまう。当該元派遣社員はその顧客情報を売買することで多額の利益を得ていた。
原因:従業員の不正
質問:個人情報保険の加入方法、おすすめの保険会社
会社経営している者です。飛び込みやテレアポ等で保険の営業をよく受けますが、その中で個人情報漏えい保険の話になりました。
話を聞いていると、弊社もある程度は備えておかなければいけないリスクだなと思い、加入を検討しているところです。
自分なりに調べてみたところ、個人情報保険は多くの保険会社が取り扱っていて、加入経路も様々あることがわかりました。
どのような加入方法が良いのかわからないので、おすすめの保険会社等の情報ありましたら教えてください。
回答:個人情報保険は取り扱い保険会社によって、補償内容に特徴があります。
個人情報保険は取り扱い保険会社によって、補償内容に特徴があります。
その中でもいくつかの保険会社、加入方法をその特徴とともに紹介します。
興味をもった保険会社、加入方法については商品提供先に必ず確認するようにしましょう。
損害保険A社:個人情報取扱事業者保険
損害保険の大手、損害保険A社が提供する保険です。基本補償は下記のリスクを補償するオーソドックスなものとなっています。
・損害賠償金
・争訟費用
・争訟対応費用
・求償権保全費用
・協力費用
さらに上記基本補償に付帯することで、補償範囲を拡張できる特約も用意されています。下記にその一例を紹介します。
・メディア対応費用
・クレーム対応費用
・事故対応費用
・損害賠償請求費用
また、割引や付帯サービスについても充実しているのが損害保険A社の特徴です。それらについても紹介します。
割引制度・・・プライバシーマークを取得している等、損害保険A社が定める一定の水準に該当すると、最大で65%の保険料の割引が可能。
リスク診断レポート・・・保険に契約しなくても、簡易リスク診断レポートを無料で受けることができる。
緊急時サポート総合サービス・・・個人情報漏えい事案が発生した場合の対応方法に関する総合的なサポートを受けることができる。
損害保険B社:個人情報漏洩保険
外資系損害保険会社の損害保険B社の提供する個人情報漏洩保険です。
基本補償は他社と比較してもそれほど相違点はありませんが、特約が豊富にそろっており、企業のリスクの考え方に応じてオーダーメイドに近い形で補償を設計することができます。
下記に特約の一例を紹介します。
補償内容の詳細は必ず保険会社に確認するようにしましょう。
企業情報漏洩特約
・サイバー攻撃対応費用特約
・データ復旧費用特約
・セキュリティ賠償責任特約
・労働者派遣事業賠償責任特約
・海外担保特約
・特許等知的財産権特約
なお、損害保険B社の個人情報漏洩保険は2025年2月1日始期契約より、商品改定が行われます。
主な改定点を紹介します。
・セキュリティ賠償責任特約を新設・・・自社のパソコンを踏み台として取引先などの第三者に損害賠償責任を補償する。
・サイバー攻撃対応費用倍額支払特約を新設・・・初期対応や原因調査にかかる費用の高騰を受け、これまで1,500万円だった支払限度額を3,000万円まで補償する。
商工団体の割引制度を活用する
日本商工会議所、中小企業団体中央会等といった商工団体が提供する個人情報保険を活用する方法です。
これらの団体は、団体ならではのスケールメリットを活かした割引制度を提供しており、一定の基準を満たすと保険料が最大70%近くの割引を受けられます。
補償内容は基本補償、特約含めてオーソドックスな内容となっていますが、保険料の割引の面では大きなメリットがあります。
また商工団体への加入は、保険の割引だけでなく、商工団体が提供するメニューを受けられるというメリットがあります。
セミナー・研修への参加、経営相談、資金調達など様々なメニューが用意されています。
ただ、加入には会費がかかることなので、詳しくは各商工団体に必ず確認するようにしましょう。
- インスタ用
- 個人情報保険は企業が個人情報を漏えいさせてしまったことに起因して生じる様々な費用を補償します。
- 個人情報保険とサイバー保険の大きな違いは、その補償範囲の広さです。個人情報保険は個人情報の漏えいに関連したリスクに限定しているのに対し、サイバー保険は、情報の漏えいを含めたサイバーリスクを包括的に補償します。
- 事故が起こった場合は、何より初動対応が重要です。基本的な対応の流れは以下のようになります。
- 上司やシステム関連部署へ報告
- 情報漏えい対策本部の設置
- 損害範囲や原因の調査を開始
- 個人情報保護委員会(※)への報告
- 世間への公表、謝罪等
- 問い合わせ対応窓口、コールセンターの設置
- 被害者へ連絡、謝罪、見舞金対応
- 再発防止策の策定、行政機関への報告
- 事後対応(損害賠償が提起された場合の対応など)
- 筆者がおすすめする保険会社、加入方法は下記で、それぞれに長所があります。
損保ジャパン社 個人情報取扱事業者保険
AIG損保 個人情報漏洩保険
商工団体の割引制度を活用する
