2025年6月11日に損害保険ジャパンが、システムに対する不正アクセスの発生及び情報流出の可能性について発表し、個人情報が最大904万件漏えいした可能性に言及しました。
発表によると、各種業務データを管理するサブシステムに対し、4月17~21日にかけて外部からの不正アクセスが発生し、顧客情報が閲覧可能な状態になっていたことが確認されています。現在も調査が続けられていますが、情報が外部に流出した可能性を否定できない状況とのことです。
当社は損保ジャパンの代理店として、今回の事態に大きな衝撃を受けました。
損保ジャパンに限らず、当社が取り扱うすべての保険会社からは、代理店に対して定期的なサイバーセキュリティ研修やチェックの実施が厳しく求められています。
サイバー保険の販売元であり、セキュリティの重要性を訴えてきた立場である保険会社が、まさかこのような深刻なインシデントを経験するとは思いもしませんでした。
しかし、この出来事は決して他人事ではありません。サイバー攻撃のリスクは、どの企業にも、そしてどの業種にも等しく存在しています。「うちは関係ない」と思っていても、明日は我が身です。
当社でもサイバー保険を取り扱っており、多くのお客様にご契約いただいております。そして実際に、当社がご支援するお客様の中でもサイバー事故が発生しています。
本記事では、実際に当社のお客様に起こったサイバー事故の事例をもとに、「サイバー保険がどこまで補償してくれるのか?」について、具体的な内容をご紹介いたします。
なお、今回ご紹介する事例は、実際に当社のお客様が経験したサイバー事故に基づいていますが、個人や企業が特定されないよう、一部の情報を伏せたり改変したりしております。
目次
ある日、当社のお客様から一本のご連絡がありました。「もしかしたら、サイバー攻撃で個人情報が漏洩してしまったかも……」
ご連絡をくださったのは、全国に実店舗を展開し、自社でECサイトも運営されているBtoC中心の小売業の企業様でした。
ちょうど1年前、全国的にサイバー事故が多発している現状や、小売業が抱える特有のリスクをご案内したことをきっかけに、サイバー保険をご契約いただいていたお客様です。
自動車や火災の事故とは異なり、サイバー事故は「目に見える損害」がすぐに確認できるわけではありません。そのため、まずはお客様が把握している被害の内容を丁寧にヒアリングし、すぐに保険会社へ事故報告を行ったうえで、対応を進めていくことになりました。
サイバーインシデント(サイバー攻撃によるセキュリティ上の問題や事件)が発生した際は、基本的な対応手順に沿って進める事が大切です。
以下はIPA(独立行政法人 情報処理推進機構)が公表している「中小企業のためのセキュリティインシデント対応の手引き」に沿った基本的な対応ステップを基に作成した流れとなります。
初動対応では、漏洩原因や被害範囲の特定などの『調査』からスタートとなりました。その結果ECサイトの決済システムの虚弱性をついた不正アクセス(サイバー攻撃)が原因である事が判明しました。
このサイバー攻撃により約数万件の個人情報及び数千件のクレジットカード情報が漏洩した可能性が高い事が判明。その一部のお客様のクレジットカード情報が不正利用された事も発覚しました。
サイバー事故が発生した際、初動対応として特に重要になるのが迅速な情報公開です。
事故の原因や被害状況がある程度明らかになった時点で、事実を適切に公表することが求められます。たとえ炎上を招く可能性があったとしても、隠すことで信頼を失う方がはるかに大きなリスクです。
もし、情報公開が遅れた場合、「隠していたのではないか」「もっと被害があるのでは」といった憶測や不信感を招き、炎上が拡大してしまうことも少なくありません。
そのため、どのタイミングで、どの範囲まで情報を開示するかを的確に判断し、信頼回復に向けた危機管理広報(クライシス・コミュニケーション)が極めて重要になります。
サイバー事故は、技術的な対応だけでなく、企業としての姿勢や対応力そのものが問われる出来事です。冷静かつ誠実な初動対応が、長期的な信用維持につながります。
今回サイバー攻撃を受けたお客様も可能な限り原因や被害範囲を調査して迅速に事故の公表を行いました。
サイバー事故の公表後、お客様企業では迅速かつ丁寧な対応が取られました。信頼回復に向けて、体制を整えながら一歩一歩前に進んでいきました。
しかし、サイバー事故の対応は専門的な知識が必要となり、自社の要員またはスキルでは対応しきれないのが実状です。
そこでお役立ち出来るのがサイバー保険です。サイバー保険には事故が発生した際に対応を保険会社がサポートするサービスが付帯されている商品もあります。
これらを活用する事で以下の様な対応が可能になりました。
① 漏えい対象者への通知対応
情報漏えいの可能性があるお客様には、メールおよび書面による通知が行われました。
書面の郵送物には、お詫びの気持ちを込めて500円分のクオカードを同封し、誠意をもって謝罪する姿勢が示されました。
② 専用コールセンターの設置
事故に関するお問合せが社内に分散しないよう、専用のコールセンターを設置。対応窓口を一本化することで、迅速かつ丁寧な対応が可能となり、混乱を防ぎました。
③ リスクマネージャーの配置
コールセンターで対応しきれないような深刻なクレームや特別な事情があるケースについては、専任のリスクマネージャーが対応を担当。場合によっては、対象者のご自宅を訪問し、直接謝罪するなど、きめ細やかな対応が行われました。
④ インシデント対応チームの編成
メールでの問い合わせ対応、コールセンター対応、さらには店舗でのクレーム対応といった複数のチャネルに対して、社内で横断的に対応するチームが組織されました。これにより、社内全体で情報を共有しながら、円滑かつ確実な対応が可能となりました。
このように、事故発生後に企業としてどのような姿勢で対応するかが、その後の信用回復やブランド維持に大きな影響を与えます。対応のスピードと誠意ある姿勢が、何よりも重要です。
上記のとおり、お客様は迅速かつ誠意ある対応を徹底されましたが、その対応には多額の費用が発生しました。こうした対応費用を幅広く補償できる点こそが、サイバー保険の大きな魅力のひとつです。
以下は別の小売業のお客様ですが、サイバー攻撃で想定される被害は実対応に掛かる費用をまとめた図です。
実際に掛かる損害額は「費用損害」だけではなく「損害賠償」「利益損害」なども発生します。
本件のお客様について保険金の詳細な内訳は控えさせていただきますが、最終的に支払われた保険金は約5,000万円にのぼりました。
支払いの内訳は、大きく分けて「費用保険金(費用損害)」と「賠償保険金(損害賠償)」の2つです。
【費用保険金(費用損害)として支払われたもの】
【賠償保険金(損害賠償)として支払われたもの】
お客様からは「サイバー保険のおかげで、事故に関する金銭的な負担の大半をカバーでき、本当に助かった」とのお言葉をいただきました。
仮に保険に加入していなければ、対応にかかる費用が経営に大きな影響を及ぼしていた可能性が高く、「会社の将来を揺るがしかねない非常に恐ろしい事故だった」と振り返っておられました。
また、保険金としてカバーは出来ませんでしたが、今回のサイバー事故によってイベントや宣伝自粛などの間接的な損害(利益損害)も発生しております。
今回ご紹介した事例は決して人ごとではありません。サイバー攻撃は大企業だけのリスクではなく、今や中小企業こそ狙われやすい時代です。
また、ECサイトの運営有無に関係なく、顧客情報を取り扱っている事業者であれば、常にリスクと隣り合わせにあります。
サイバー保険と一口に言っても、補償内容や付帯するサービスなどは保険会社によって様々です。
セフティーでは、保険のプロとしてお客様の事業内容やリスク状況をしっかりヒアリングし、本当に必要な補償を無駄なく備えるご提案を行っています。
もちろん、「まだサイバー事故が起きていないけど、何から始めたらいいかわからない…」というご相談も大歓迎です。
サイバー攻撃は、いつ、どこで、誰に起きてもおかしくありません。だからこそ、「何もない今」の行動が、未来の会社とお客様を守る大きな力になります。
サイバー保険について気になることがあれば、ぜひセフティーまでお気軽にご相談ください。
リモート対応であれば全国どこでも可能ですし、以下の地域においては直接ご訪問も承っております。
【訪問対応エリア】
東京都:葛飾区・足立区・荒川区・台東区・墨田区・江戸川区(23区全域対応可)
埼玉県:八潮市・草加市・三郷市
千葉県:松戸市・市川市・浦安市
東京・首都圏の中小企業様の“もしも”に備えるリスク対策なら、セフティーにお任せください。
生成AI時代のサイバーリスクにどう備えるか?中小企業こそ検討したいBCPとサイバー保険ガイド
【中小企業も標的に】急増するサイバー攻撃に備える!基本的な対策とサイバー保険について
サイバー攻撃の想定損害費用とは?不利益を理解してリスクマネージメントを!
情報セキュリティ対策に必要な「知る・守る・備える」 ~初歩的な知識とサイバー保険の活用方法~【無料Webセミナー】
「企業実務」にサイバー保険の記事を寄稿しました!(弊社代表の執筆記事が掲載されました!)
