歴史的に、都市にとって最も壊滅的なリスクの 1 つは火災でした。現代の消防署の概念が登場する以前は、ほとんどの企業や住民は、必要に応じて資金を提供して消火活動を行ってくれる民間の消防署に頼っていました。

1751 年、ベンジャミン フランクリンは、米国植民地で火災保険を販売する最初の消防会社、フィラデルフィア コントリビューションシップを設立しました。 

オールステートによると、フィラデルフィアの参加者は料金を支払い、その料金は他の参加者の火災関連の損失を補うために使用されたという。拠出の初年度は、7 年間をカバーするために 143 件の保険が購入されました。その間、保険をかけられた物件で火災が発生したものはありませんでした。 

時間が経つにつれて、社会は火災予防において大きな進歩を遂げ、保険会社はこれらの対策に関するデータを収集して、火災のリスクをどのように軽減または増加させたかを評価し、それに応じて保険料を調整しました。

しかし、市場にある最新の保険形式の 1 つは、別の道を切り開きました。外交問題評議会（CFR）のホイットニー・シェパードソン上級研究員、ロバート・クネーク氏によると、サイバー保険会社は依然として、データ窃盗につながるサイバーインシデントのリスクを価格設定するためのデータを蓄積している段階であり、破壊的な攻撃のリスクを価格設定するデータを持っている企業はないという。 

「さらに、保険会社は通常、サイバーセキュリティ慣行の改善と引き換えに保険料の減額を提案することはありません」とクネイク氏はCFRのデジタルおよびサイバースペース政策プログラムのサイバーブリーフに書いている。 「この市場決定は、サイバーセキュリティ業界の悲しい現実を反映しています。一部の保険会社は、リスクの価格を正確に見積もるために必要な情報にアクセスするために、サイバーセキュリティプロバイダーと緊密な関係を築いていますが、どのサイバーセキュリティ慣行が機能し、どれが機能しないのかについて明確なコンセンサスはありません。」

プライスウォーターハウスクーパース (PwC) の保険「2020 & Beyond: Reaping the Dividends of Cyber Resilience」によると、サイバー攻撃に関連するリスクを正確に見積もることはできないにもかかわらず、サイバー保険市場は 2020 年までに約 27 億 5000 万ドルから 75 億ドルに成長すると予測されています。 

「あらゆる分野の企業が、今日のますます複雑でリスクの高いデジタル環境におけるサイバー保険の重要性を認識し始めています」と報告書は説明しています。しかし、この認識は、サイバー保険の真の価値に対する懐疑と結びついています。

「高額な補償コスト、課せられた限度額、厳しい契約条件、保険契約者が請求できるかどうかの制限を考慮すると、多くの保険契約者は自分たちの保険が真の価値を提供しているかどうか疑問を抱いている」とPwCの保険パートナー、ポール・デルブリッジ氏は報告書に関する声明で述べた。 

サイバー保険は、1990 年代に始まった保険業界では比較的新しい概念です。企業は電子商取引に関連するリスクをカバーするために保険市場に注目し始めましたが、既存の保険モデルはどれも適切ではないことがわかりました、と CFC Underwriting の最高イノベーション責任者である Graeme Newman 氏は述べています。

「心配したのは、建物が焼け落ちたり、物理的な敷地で取引できなくなることではなく、システムがダウンして取引できなくなることでした」と彼は説明する。 「彼らの最大の資産はデータでした。彼らはそのデータを保証するために使用できる製品を望んでいました。そこでサイバー保険が誕生しました。」

サイバー賠償責任ポリシーは、個人情報の盗難、ハッカーがネットワークをシャットダウンしたときの事業の中断、企業の評判の毀損、ハッカーによるデータ記録の損傷に関連する費用を補償するために作成されました。全米保険委員協会によると、ポリシーは、デジタル資産の盗難、コンピューター コードを介した悪意のある攻撃、機密情報を漏らす人的ミス、信用監視サービス、訴訟もカバーすることができます。

2000 年代後半、社会は犯罪に大きな変化を見せ始め、物理的な犯罪がフィッシング詐欺、ビジネスメール侵害、ランサムウェアなどのサイバー犯罪に変化しました。これにより、サイバー保険がより主流の保険として押し上げられ、医療機関がその先頭に立っているとニューマン氏は述べています。

病院は通常、「医療保険の相互運用性と責任に関する法律 (HIPAA) に基づく米国では特に、優れたリスク管理部門を備えた古いレガシー IT システムに多くの機密患者データが保管されていますが、IT セキュリティについてはほとんど理解されておらず、規制当局から非常に高額な罰則を受けています」とニューマン氏は付け加えました。

2013 年と 2014 年にターゲット、ホーム デポ、ニーマン マーカスでハッカーが顧客の支払いカード情報を取得するために小売業者を標的とした一連の大規模侵害の後、小売業者がサイバー保険の購入を開始した次の主要業種となりました。

「これにより、小売業者はサイバー保険に加入するようになり、金融機関もサイバー保険に加入するようになりました」とニューマン氏は言います。

この活動により、現在約 30 億ドル相当のサイバー保険市場が形成され、米国で購入されているサイバー保険全体の 90% が占めています。これには、米国における集団訴訟の積極的な文化、消費者データを侵害する企業に対して厳しい姿勢をとっている州司法長官、法律に基づいて罰金を課すことができる規制当局など、さまざまな理由があります。

「企業がデータを失うと、それから金を稼ごうとする救急車の追跡者が大量に集まります」とニューマン氏は言います。 「データを失った企業に対して訴訟を起こすだろう。」 

これらの動機にもかかわらず、サイバー保険に加入しているのは米国企業の 25 パーセント、英国企業の 2 パーセントにすぎません。 PwC のレポートによると、これは、攻撃の規模と財務上の影響に関するデータが限られているため、プレミアム価格が設定されているためである可能性があります。

「保険会社や再保険会社は、不確実性の一部を和らげるために、他の種類の賠償責任補償に比べてサイバー保険に高額な料金を請求している」と報告書は説明している。 

PwC の元米国サイバー犯罪および侵害対応担当上級マネージング ディレクターのドン・アルシュ氏は、わずか 2 年前にこれが実際に行われているのを目撃しました。彼のクライアントの 1 つである世界的な製造会社は、サイバー保険に加入しようとしましたが、通信事業者は保険料 1 ドルにつき 1 ドルの補償しか提供しないことがわかりました。ウルシュ氏によると、顧客は最終的に米国証券取引委員会（SEC）のガイドラインを満たす必要があると考えて保険を購入したという。

「SEC 登録者としての要件を検討し始めると、おそらくサイバー保険について検討し始めるでしょう。」と彼は説明します。これは、2011 年に SEC がサイバー保険に関するガイダンスを発表し、それ以来、サイバー リスクの管理に侵害前中心のアプローチを採用しているためです。つまり、取締役会は投資家や株主に対し、サイバー侵害が発生した場合にサイバー リスクをどのように管理するかを通知しています。 

また、サイバー保険を発行している通信事業者に対して、制限、除外、条件によって潜在的な損失に上限を設けていることを PwC は発見しました。たとえば、一般的な条件には、最先端のデータ暗号化や 100% 更新されたセキュリティ パッチ条項が含まれますが、企業にとってこれらを維持するのは困難です。

実際の成長を遅らせている可能性があるもう 1 つの分野は、サイバーセキュリティに関連する新たなリスクをどのようにカバーするかについての混乱です。ウルシュ氏によれば、通信事業者がまだ検討中の領域の 1 つは、サイバー インシデントに起因する物理的なイベントをどのようにカバーするかということです。

たとえば、レストランの IoT デバイスが侵害され、ハッカーがそのデバイスを利用してレストランのガス管を誤作動させ、爆発を引き起こす可能性があります。

このような事件は人身傷害や物的損害を引き起こす可能性があるため、「サイバー保険の延長とすべきでしょうか?」ウルシュが尋ねる。 「それとも、商業一般賠償責任保険の一部として含めるべきでしょうか? どうやってカバーされますか?」

これは、ほぼ毎日出現する新しい種類のサイバー攻撃に対応するために、保険会社が今日抱えている大きな疑問の 1 つです。 「これは比較的新しいことですが、その重要性はますます高まっています」と彼は付け加えました。

しかし、サイバー保険契約の導入を促進する可能性のある進展の 1 つは、2016 年 12 月に米国財務省がテロリスク保険プログラム (TRIP) にこれらの保険を含めるガイダンスを連邦官報で発表したことです。

TRIPは当初、9/11の直後、民間企業がテロ保険に加入できるようにするための連邦政府の一時しのぎとして、テロリスク保険法(TRIA)の一環として創設された。このプログラムに基づき、米国財務長官と司法長官はある出来事をテロ行為として認定することができる。この行為による損害が 2 億ドルを超えた場合、残りの損失を補填するために TRIP が発動されます。 

2016 年以前は、サイバー インシデントに対して TRIP が発動されるかどうかについて混乱がありました。明確にするために、財務省は、「サイバー賠償責任」として報告される「独立型サイバー保険契約」が TRIP に基づく「損害保険」に含まれることを確認する新しいガイダンスを発行しました。 

セキュリティ管理部門は、ガイダンスに関するさらなる説明を求めて財務省に連絡を取りましたが、コメントの要請はありませんでした。

TRIP にサイバー保険を追加することは、財務省の指導前に公開された自身のサイバーブリーフでクネイク氏が推奨したステップです。彼は連邦政府の支援によるサイバー保険プログラムの創設を提唱しました。

「連邦サイバー保険プログラムは TRIP の下で開発されるべきである…テロ攻撃と同様に、米国に影響を与える壊滅的なサイバー事件はまれであることを考えると」とクネイク氏は書いた。 「TRIP はサイバー イベントをカバーするように拡張され、テロリスト、国家主体、犯罪者によって実行されたかどうかに関係なく、帰属が特定できないケースも含め、すべての壊滅的なサイバー攻撃をカバーできるように名前を変更されるべきです。」

TRIP が不十分な点の 1 つは、TRIP が保険契約や企業自体にセキュリティを向上させるための要件を課していないことだと、クネーク氏はセキュリティ管理者に語ります。米国国家安全保障会議のサイバーセキュリティ政策担当ディレクターを務めたクネイク氏は、これについては TRIP 創設時に議論されたが、最終的には中止されたと述べた。

サイバーセキュリティに関して言えば、脅威と企業自身を守る基本的な責任は企業にあり、「TRIA に似ていますが、サイバー衛生、より良い実践、情報共有を促進するために保険が使用される状況を生み出すモデルは非常に理にかなっています。」と彼は言います。

たとえば、Knake は、TRIP の保護を利用したい企業に対して、規制当局がサイバー保険の最低要件を設定することを推奨しています。その一例として、大手金融機関がサイバー攻撃を受けた場合にシステム全体にわたるシステミック リスクの可能性に対処するために、米国の金融規制当局がサイバーセキュリティに対して採用したアプローチが挙げられます。

「そのリスクを定量化して、『その金額までの保険に加入する必要がある』と言えるようになります」とクネイク氏は言います。 「自動車保険のようなものです。最低基準として自動車保険に加入する必要があります。」

最終的には、連邦政府が後援するサイバー保険プログラムを利用して、経済的責任を制限し、「インターネット全体のセキュリティに利益をもたらし、システムリスクを軽減する取り組み」への参加を促進する必要があるとクネイク氏は書いている。 

「当初、政府の目標は、保険会社が正確にリスクの価格を設定し、保険料を設定できるように、このプログラムを利用して事故に関するデータの共有を促進することであるべきである。そうすることで、既存のベストプラクティスの有効性を判断し、広く採用されるべき新しいプラクティスを特定するために必要なデータが提供される可能性がある。」 

それが実現するかどうかはまだわかりませんが、保険会社はすでにサイバー保険の国際市場が 400% 成長すると予測しています。ニューマン氏によると、ほとんどの保険は通常、前年比 1 ～ 2% の成長しか見られません。

「サイバー保険は刺激的です」とニューマン氏は付け加えます。 「サイバーは世界で成長している保険の一種です。」