AIの迅速な導入を目指す企業が、潜在的なリスクに備えた保険への需要を高める中、保険業界は大きな転換期を迎えています。特に、人間による監視プロセスが機能する前に深刻な損害を引き起こす可能性があるエージェント型AIシステムへの懸念が高まっています。
現時点では、企業がAI活用の方法を模索する段階にあるため、リスク自体はまだ限定的です。しかしすでに一部の保険会社は、従来型の保険契約からAIに起因する損害を除外する動きを見せており、そのリスクはサイバー保険や技術系エラー・アンド・オミッション(E&O)保険で吸収される形になっています。一方、AIリスクに特化した保険を新たに設けた保険会社も存在しますが、現時点ではその市場規模はまだ小さい状況です。
サイバーレジリエンスおよび保険プロバイダーであるResilienceのチーフ・アンダーライティング・オフィサー、マリア・ロング氏は、AIが企業とサイバー攻撃者の双方にとって業務の基盤として急速に浸透しつつあるため、保険会社とその顧客はこの問題に真剣に向き合う必要があると指摘しています。実際にResilienceでは、2025年に保険契約者からのサイバー保険請求件数が増加しており、その一因として、攻撃者がAIを活用してフィッシング攻撃の精度を高め、オペレーションを加速させていることを挙げています。
こうした状況を受けて同社は、AIと従来のコンピュータに起因するリスクを分離し、より適切な補償を設計する戦略へのシフトを進めています。
「現行のポリシーは、攻撃の手段ではなく事業中断・詐欺・データ漏洩といった結果に基づいているため、AIに関連するリスクも本質的にカバーされています」とロング氏は述べています。「しかし同時に、AIは急速に進化しており、AIに関連する問題を従来のサイバー保険請求と一括りにする対応は、いずれ通用しなくなるでしょう」
こうした懸念が高まる背景には、企業によるAI導入の加速があります。コンサルティング大手デロイトが3,200社を対象に実施した「エンタープライズにおけるAIの現状」調査によると、正式に承認されたAIアプリケーションへのアクセスを持つ従業員は、2025年初頭の40%から60%へと増加しています。OpenAIが「エンタープライズAIの現状」レポート(2025年12月公開)で発表したデータでは、さらに高い普及率が示されており、従業員の75%がAIによる生産性向上を実感し、週当たり約1時間の時間節約が生まれているほか、トークン使用量は1年前と比べて320倍に達しているとしています。
しかし、セキュリティとガバナンスの整備は追いついていません。デロイトのレポートによると、企業の大多数(74%)がエージェント型AIの展開を計画している一方、成熟したAIガバナンスモデルを構築できているのはわずか21%にとどまっています。
AIの挙動における不確実性とリスク低減の必要性
ミュンヘン再保険傘下のHSBでInsure AIチームを率いるマイケル・フォン・ガブレンツ氏は、企業はAIに関するリスク軽減戦略を明確にする必要があると述べています。選択肢は保険会社と連携するか、事実上の自己保険を受け入れるかのいずれかです。同氏が率いるチームは企業向けにAI賠償責任保険を提供しており、将来的にはさらなるAIリスクのカバレッジ拡充を計画しています。
AIの価値は知識集約型プロセスの自動化にある以上、企業がその導入を鈍化させることは考えにくいとフォン・ガブレンツ氏は指摘します。だからこそ、問題が発生した際のリスクを適切に分散させることが重要だとしています。
「AIが誤りを犯したり、ハルシネーション(幻覚)を起こしたり、差別的な出力や侵害・有害なコンテンツを生成したりすれば、そのAIに基づいて行われた行動や意思決定は意図しない結果をもたらし、利用者に法的責任や経済的損失を生じさせます」とフォン・ガブレンツ氏は語ります。「AIモデルのエラーを保険でカバーすることは、AIにおける最も根本的なリスクの一つに対処することであり、AIが想定通りに機能しなかった場合の財務的な保護を利用者に提供するものです」
エージェント型AIはさらに大きなリスクをもたらします。信用格付け・分析の大手フィッチ・レーティングスのサイバーリスク責任者ゲリー・グロンビッキ氏によると、最も深刻なリスクは、AIエージェントが意図しない行動——データの削除、不正な操作の承認、その他の業務損失の引き起こしなど——を取ることだと言います。また、AIの意思決定における透明性の有無によってもリスクは異なります。たとえば、人事担当のAIエージェントが履歴書のフィルタリング基準を開示しなければ、バイアスを主張する訴訟リスクにさらされる可能性があります。
「AI(リスク)——特にAI保険そのものについて話す場合——は、非常に速くオーダーメイドの世界になっていきます」とグロンビッキ氏は述べています。企業は保険会社と、どのようなリスクをカバーする必要があるかについて率直に話し合うべきだと言います。曖昧なままにしておくことは双方にとって好ましくありません。「具体的に除外されていないが、明示的に補償対象とも確認されていない場合、いわゆる『サイレント補償』と呼ばれる状態になります。これは法的な責任の所在を曖昧にするリスクをはらんでいます」
たとえばミュンヘン再保険では、株式市場の価格予測を行うAIモデルはリスク許容範囲外として補償対象に含めていないと、同社のフォン・ガブレンツ氏は説明しています。
AIガバナンスの重要性
特定のインシデントや事案が保険でカバーされるかどうかは、詳細な状況に大きく左右されます。Resilienceのロング氏によると、アンダーライターの観点では、プロンプトインジェクションやAIシステムの脆弱性を悪用した攻撃が事業中断やデータ漏洩を引き起こした場合は、サイバー保険でカバーされるべきだとしています。一方、基盤AIモデルの誤った応答によって生じた経済的損失は、通常Tech E&Oポリシーの対象となります。
「AIが攻撃の『手段(ベクター)』なのか、それともリスクそのものの『源泉(ペリル)』なのかという問いは、保険の文言が進化し続ける中で、ますます重要なテーマになっていくでしょう」とロング氏は述べています。
企業はAI機能に内在するリスクを「俯瞰的な視点(フォレストビュー)」で評価する必要があるとロング氏は言います。具体的には、AIを活用したサイバー攻撃、従業員が使用するシャドーAI、そして企業が公式に認めたAIツールからのエラーやハルシネーションという三つの観点から総合的に把握することが求められます。
「AIガバナンスとリスク評価はあらゆるガイダンスの核心です」とロング氏は語り、次のように付け加えています。「特定の管理策を一律に要求するのではなく、クライアントとともにリスクを把握し、リスク低減に最も効果的な対策を提案するアプローチを取っています」
フィッチ・レーティングスのグロンビッキ氏は、企業は早い段階で強固なガバナンス体制を構築すべきだと強調しています。そうしたシステムが生み出す監査証跡は、特にエージェント型AIが関与するインシデントが発生した際に、責任の所在を明らかにするうえで不可欠だと指摘しています。
「それは従業員の行為だったのか、Claudeの行為だったのか、あるいは別の何かだったのか。最終的に誰がその行動に責任を負うのか」とグロンビッキ氏は問いかけます。「法的には非常にグレーな領域であり、保険会社もそのリスクを最小化しようと取り組んでいます」
グロンビッキ氏は、AIを広く展開する前に保険契約の内容について事前に話し合っておくべきだと企業に呼びかけています。明確さを欠いたまま進めれば、インシデント発生時に保険補償を受けられず、結果的に自己負担という最悪のケースを招くリスクがあります。
「未知のリスクを大規模に積み重ねることは、通常、災害の元となります」と同氏は警告しています。
翻訳元: https://www.darkreading.com/cyber-risk/ai-risk-worries-insurers-businesses-alike
