サイバー保険

サイバー保険の加入率は12%

日本損害保険協会は11日、「サイバー保険に関する調査2018」を発表しました。
売上高が100億円以上、あるいは従業員数1000名以上の大企業では、サイバー攻撃への危機意識を持つ会社が過半数を占め、サイバー保険への加入もある程度進んでいる一方、規模が小さい会社の多くは、自社がサイバー攻撃の対象になる可能性があることを認識しておらず、当然ながらサイバー保険の加入率も非常に低いという結果が示されています。

※調査結果はこちら(PDF)

もちろん、サイバー保険に加入すればサイバーセキュリティ対応になるわけではなく、リスクを認識し、対応方針を決め、管理体制を構築するといった、リスク管理の枠組みを整備し、実践するのが先です。
しかし、調査によると、規模の小さな会社では、多くが「ウイルス対策ソフトの導入」「機密情報を社外に持ち出さない(=そうしたルールがあるということでしょうか?)くらいしか対策を取っておらず、セキュリティ対応を強化する予定もないことがうかがえます。

※参考(備忘録として)
独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2019」
経済産業省・IPA「サイバーセキュリティ経営ガイドライン Ver 2.0」
金融庁「『金融分野におけるサイバーセキュリティ強化に向けた取組方針』のアップデートについて」

部門間の連携ができているか

ところで、一般の事業会社や多くの金融機関には、サイバーリスクは経営を揺るがす脅威でしかありませんが、保険会社にとってサイバーリスクは、脅威であるとともに、ビジネスチャンスでもあるということですね。

ただし、保険会社としてリターンを目指すサイバーリスク(保険引受リスク)と、企業活動に伴うサイバーリスク(オペレーショナルリスク、あるいはBCP対応)は別物なので、前者は保険引受部門や商品開発部門、後者はIT部門などの指示に基づき各事業部門が第1線として対応するのが一般的だと思います
(第2線としてはリスク管理部門が全社的にモニタリングを実施)。

とはいえ、管理体制は別々だとしても、取り扱うリスクそのものは共通しているので、各部門がそれぞれバラバラに業務を行うのではなく、壁を造らず、うまく連携できる体制が理想なのでしょうね。
まさか紺屋の白袴ということはないとは思いますが…

※写真は築地場外市場です。この日は観光客がやや少なめでした。

※いつものように個人的なコメントということでお願いします。

ブログを読んで面白かった方、なるほどと思った方はクリックして下さい。