サイバーイベントによる偶発的事業中断

経済関係のグローバル化や世界的生産・流通ネットワークへのシフトに伴い、企業はますますITに依存するようになっています。サプライチェーンに沿った、または外部委託された技術環境からのサイバーイベントによる世界的生産の中断により、リスクマネジメントとリスクアセスメントの重要性はますます高まっています。生産ロスを回避し、評判や市場シェアの恒久的な喪失を最小限にとどめることが、企業の最大の利益です。このような理由から、この深刻化したサイバーリスクを保険に移転するという需要は、増加の一途をたどっています。このエクスポージャーは非常に複雑で、リスクを適切に評価し十分に補償責任を引き受けることができるケースはむしろ稀です。結果として、保険業界は、どのような状況においてサイバー偶発的事業中断を補償できるか分析する必要があります。 

サイバー偶発的事業中断 (“CBI”) 保険損失は、サーバープロバイダーや、被保険者が依存するサプライヤーのコンピュータシステムへの損傷に起因します。

情報または通信サービスのための重要な技術サービスプロバイダーの障害に起因するサイバーCBI損失を説明するため、 被保険者としてカーエアコン用コンプレッサーの例を挙げてみましょう。この会社は在庫情報の保存を外部提供のクラウドプラットホームに依存していると想像してください。次に、このクラウドサービスのプロバイダがサイバー攻撃を受けて一時的にサービスを提供できなくなった場合の、コンプレッサー製造会社への影響を考えてみましょう。これは被保険者であるコンプレッサー製造会社の生産中止につながり、次に、この会社の経済的損害および評判の喪失を招きます。

この2番目の例では、類似的に、被保険者が食品会社で、サイバーインシデントが起きてスパイスの主要なサプライヤーが原材料を納品できず、生産を維持することができなくなる場合にも同様に当てはまります。このシナリオを反対側から見ることもできます。食品会社がサイバー攻撃に会い、生産が止まり、被保険者であるスパイスのサプライヤーからの納品を受け取ることができなくなるといった具合です。これら2つの非技術的なサイバーCBIのシナリオは、サプライヤーから見ても顧客から見ても、原料、部品や材料のサプライチェーン、操作技術（生産機械など）、運転資材（潤滑剤など）、ならびに流通やインフラサービスを含みます。

サイバーCBIの損失と重大度は、サードパーティーの特性だけでは決定されません。それらは被保険者企業の構造とビジネスモデルにも依存するのです。契約はサービスレベルについて十分かつ現実的な合意をもって慎重に作成されているでしょうか？被保険者にとって可能な場合、商品またはサービスの供給能力を維持するために情報セキュリティレベルの監視を行う取り決めはあるでしょうか？大企業には通常、より多く、より質の高い、組織的、技術的、そして詰まるところは人材のリソースがあります。したがって、リスクを見抜き、理解する一方でセキュリティの監視と継続的な改善を達成することは、小企業に比べて大企業の方が容易です。

慎重なサイバー保険会社は、ビジネスモデルの複雑な相互関連性を理解するためのリスクアセスメントと、利益の出る顧客リストを作成するための補償面の両方を考慮する必要があります。二つの面の詳細は下記にあります。

単一の被保険者である企業のサイバー偶発的事業中断リスクは、関連するITサービスプロバイダーまたは物品サプライヤーのエクスポージャーおよび情報セキュリティレベルにより特性化されます。被保険企業には、産業セクターのせいで、他の企業より高いエクスポージャーを示す企業があります。例えば、ITサービスに平均以上に依存しているのが、リテーラー、金融機関、そしてITサービスプロバイダー自身です。また、旅行、ホスピタリティ、ロジスティックス、運輸業界の企業も同様です。さらに、ITハードウェア、エレクトロニクス、食品、医薬品および自動車業界は物品と材料のサプライヤーに大きく依存しています。

サイバーCBIエクスポージャーの評価に関連するコントロールポイントは、まずサードパーティー契約でサイバーセキュリティに対処し、また定期的にサービスやサービスの変更を監視しレビューすることから始まります。情報セキュリティのインシデントから学ぶ際には、情報セキュリティの弱点をレポートする、風通しのよい企業文化の存在が非常に重要です。また、サプライチェーンの管理においては、情報セキュリティの連続性の策定、実施、検証、レビュー、評価が１回限りのイベントであってはなりません。サイバーCBIリスクを事業連続性と障害復旧管理の枠内で考慮することによって許容レベルを維持することは、むしろ恒久的なプロセスです。

企業がリスクを特定する際に直面する課題は、評価プロセス中に、必要な関連情報へのアクセスが限定的であるか、しばしば皆無である、ということです。このギャップを減らすため、Munich Reは正当な評価に必要な情報を最適に集めることを目的とした、サイバーリスクアセスメントアンケートの状況に対する特約条項を開発しています。

理論を実践するためのリスクの特定は、他の企業との契約内でサイバーセキュリティに対処することに始まり、重要なサプライヤーの深刻なサイバー事業中断後の情報セキュリティの連続性管理に終わります。しかし、被保険者自身のサイバーCBIリスクアセスメント、マネジメントの変更、過去の情報セキュリティインシデントから学んだ教訓なども考慮します。

技術的なリスクのアセスメントだけでなく、このように複雑なエクスポージャーに対するサイバーCBIの保険を引き受けることもまた困難です。保険会社はサプライチェーンとサービスチェーンの全体的な概観を得ることが非常に困難であると感じ、一部を被保険者の努力の審査に頼ることがしばしばあります。被保険者を保障することの前提には、専門的なサプライチェーンの管理がなければなりません。

サイバー保険では、偶発的事業中断の損失が標準的なカバーとして保障されてはなりません。あくまで、特定の条件下でのみ含まれるべきです。

• リスクを確実に評価できるために、サプライヤーのリスク状況が透明であることが極めて重要です。
• 被保険者と直接契約を結んでいるパートナーの偶発的な事業中断損失のみを含め、二次、三次の下請けは明確に除外するのが賢明です。さもないと、サイバーCBI損失の頻度が急上昇し、集積する企業群のせいで保険が掛けられなくなるおそれがあります。
• このようなパートナーの元で起こったサイバーインシデントに対するCBI保障は、 保険証券で指定された企業にのみ提供されるべきです。指定されていない直接のサプライヤーの保障は、非保険者への直接のサプライヤーやサービスのプロバイダーのサブリミットとしてのみ提供されるのがよいでしょう。
• サイバー保険は純粋に経済的な損害のみに対する補償を提供しているので、あらゆる種類の物理的な危険は除外されなければなりません。

製品やサービスの主要サプライヤーが自社のシステムを適切に保護できない場合や、社内に悪意のあるインサイダーがいる場合を想像してください。あるいは、サプライヤーのシステム管理者がネットワークへのアクセスを適切に保護できず、その結果脆弱性につけこまれたりした場合です。結果的に、サイバー攻撃による事業中断リスクを評価する場合、保険業者は偶発的事業中断損失に対する補償内容に対して特に注意を払う必要があります。

実際、これは何を意味するのでしょうか？被保険企業の一次サプライヤーがマルウェアによるネットワークセキュリティ侵害を受けます。これはカバーすることができます。しかし、サプライヤーのシステム機能停止の保障は、極端なリスククリープに等しいことでしょう。その時点で損害発生率が著しく増大するので、これにはずっと高いレベルの配慮と経験が必要となります。このサプライヤーの元で起こったIT関連のインシデントのすべてを補償することは、たとえそれがITの質が悪かった可能性があってもたらされたとしても、被保険者のサイバーポリシーが意図するところではありません。

堅実なサブリミットは、偶発的な事業中断リスクを限定します。逆に言うと、限度のないリスクは、その潜在的な集積のためにでほとんど算出不可能です。サプライチェーンにおいては、多くの未知の経路と未知の人員が存在します。さらに、保険会社のサイバーポートフォリオはこのようなサプライチェーンを多く含むので、結果としてさらに多くの未知が存在します。これは累積損失ポテンシャルが高いことを表します。保険会社が補償総額を制限することによってエクスポージャーを制限するには十分な理由でしょう。

また、時間控除免責も常に適用されるべきです。保険会社はクライアント、すなわち被保険企業が負った損害を補償します。したがって、このイベントはサプライヤーではなく、被保険企業が物的影響を受けたときから開始します。保険契約者は中断によるギャップを埋めるために供給品の在庫に余裕を持っているかもしれないし、あるいはサービスの混乱を自社または第三者の能力で補うことができます。

グローバリゼーションとますます高まる技術とビジネスの相互関連性、またその結果としてのITへの依存性が、保険のソリューションを求める企業の需要を促進するでしょう。しかし、高度な複雑性と透明性の欠如のせいで、サイバーCBIリスクは保険業界全体にとって困難な課題となります。当社はすでに、大きなプロパティー保険のCBI損失から、リスクを完全には管理できないことを学んでいます。サイバー保険は初期段階の製品ですので、この比較的新しい補償に関して、対物損害保険のアプローチからどのように学び、改善していくかを問うことが非常に重要です。

複雑性とエクスポージャーの損失ポテンシャルを考慮すると、サイバーCBI保険補償を市場の標準として提供するべきではありません。Munich ReはサイバーCBI保険を、選択的かつ注意深く、熟慮の上でのみ提供したいと考えています。予期されたリスクの慎重な選択と関連したエクスポージャーのアセスメントが透明性を生み、慎重な補償の基礎となります。業界全体と同様、当社は常にリスクマネジメントの手法と品質を向上させるために学んでいます。お客様である皆様とお話できることを心待ちにしております。