規制の厳しい業界の企業がサイバー保険に加入するのは、契約上の要件だったり、取締役会がリスク移転の文書化を求めたりするためであることが多いです。こうした保険の世界市場規模は、2024年時点で保険料換算約160億ドルに達しました。補償の普及は進む一方、支払いの予測はますます難しくなっています。

エクスポージャーと補償のギャップ
世界の保険料の約90%を占める保険会社を代表する保険業界団体Global Federation of Insurance Associations(GFIA)は、2023年の報告書で、サイバー保護のギャップを約9000億ドルと算定しており、サイバーインシデントによる年間の経済的損失はこの数字を上回るとしています。Marsh McLennanとZurich Insurance Groupが2024年に公表したホワイトペーパーも、この調査結果を後押しし、このギャップを埋めるための官民連携の行動を呼びかけました。GFIAも独自に同様の結論に達しており、保険でカバーされる損失は世界全体の年間サイバー損失のごく一部にすぎないと指摘しています。
米国のサイバー保険市場は、11四半期連続の保険料率下落を背景に、統計開始以来初めて保険料収入が縮小しました。報告される損失が増加を続ける一方で、過剰な引受能力が価格を押し下げているのです。
引受をめぐる駆け引き
サイバー保険の申込手続きは長大です。近年の質問票の中には、多要素認証、バックアップ体制、エンドポイント検知、パッチ適用のペース、インシデント対応訓練など、50項目を超える設問を含むものもあります。回答内容はそのまま法的な表明事項となります。加入後に管理策が形骸化したり、部分的な導入にすぎない対策を「全社的に導入済み」と申告したりすると、後の保険金請求時に紛争へと発展しかねません。
「サイバー保険には正当な役割がありますが、それは管理体制でも、信頼モデルでも、レジリエンス戦略でもありません。あくまで残存リスクを金銭的に処理するためのツールです」と、元NSAアナリストでDrZeroTrustの名で分析を発信しているチェイス・カニンガム博士はHelp Net Securityに語りました。
保険金の支払拒否には、繰り返し現れるいくつかの典型パターンがあります。独立系の分析によれば、サイバー関連の保険金請求における拒否率は40%から44%に上るとされています。多くの案件は、申告内容の虚偽、義務付けられた管理策の未維持、そして表明事項の技術的な意味を深く理解しないまま担当者が申込書に署名してしまったことなどが争点となっています。
大規模被害を免責事項が除外
マーク社によるNotPetya被害をめぐる訴訟(同社は損害額を約14億ドルと見積もっています)は、「オールリスク」型の財物保険における戦争免責条項の適用が争点となり、2023年5月にニュージャージー州の控訴裁判所が同社に有利な判決を下しました。この訴訟は2024年1月に非公開の条件で和解しています。ロイズ・オブ・ロンドンはこれに先立ち、2022年8月付けのマーケット・ブレティンで同様の方向性を打ち出しており、2023年3月31日以降、単独型サイバー保険は国家が関与する攻撃を明示的に免責対象とすることを義務づけ、制限の度合いが異なる4種類のモデル条項を提示していました。
ソーシャルエンジニアリングも同様の扱いを受けています。標準的な保険契約では、この種のインシデントを全面的に免責対象としたり、支払い上限を25万ドルに設定したりすることが多く、この金額はこの種の攻撃による平均的な損失額を大きく下回っています。
システミックリスクと公共政策
ロイズのシナリオ分析では、世界の金融サービスの決済システムに対する大規模攻撃が発生した場合、世界経済に与える損失は約3兆5000億ドルに上ると試算されています。この金額は、サイバー保険市場全体が毎年集める保険料の総額をはるかに上回るものです。
カニンガム氏は、テロリズムリスク保険法(TRIA)のような、条件付きの連邦政府によるサイバー保険のバックストップ制度を導入する余地があると見ています。「真に破滅的なシステミックサイバー事象に対しては、連邦政府によるサイバーバックストップを検討する価値はあると思います。ただし、それが最後の手段としてのレジリエンス機構として設計される場合に限られ、脆弱なセキュリティ体制への補助金になってはなりません」と同氏は述べています。同氏の主張では、適用対象となるための要件として、NISTのサイバーセキュリティフレームワーク(CSF)とCISAのサイバーセキュリティ・パフォーマンス目標に連動した最低限の管理策を証拠に基づいて満たすことを求めるべきであり、また保険会社と契約者の双方が相応のリスク負担を維持することで、納税者が防げたはずの過失の尻拭いをさせられないようにすべきだとしています。
中堅企業向けの指針
専任のCISOや社内弁護士を持たない中堅企業は、サイバーリスクの解釈を保険ブローカーに頼りがちです。カニンガム氏は、もっと広い視野を持つことを勧めています。「保険加入のプロセスをめぐっては、小さくてもいいので助言のトライアングルを組むことをお勧めします。サイバー専門のブローカー、独立系の技術アドバイザーまたは非常勤CISO、そしてサイバー補償と侵害対応に精通した外部弁護士の3者です」と同氏は述べています。
出発点となる基準として、同氏はCISAのサイバーセキュリティ・パフォーマンス目標と、NISTの中小企業向けサイバーセキュリティ資料を挙げています。ブローカーの資格については、PLUSのサイバー賠償責任研修、RPLU、CPLP、The InstitutesのAssociate in Cyber Risk Management、CPCU、ARM、CRM、CICを、選定の目安として有用だとしています。とはいえ、資格と同じくらい重要なのは実務経験です。</p
同氏によれば、ある一つの質問がその違いを浮き彫りにするといいます。「これまでにサイバー関連の保険金請求を何件扱ってきましたか」というものです。表面的なアドバイザーは補償限度額や売上高、多要素認証の有無を尋ねるにとどまります。一方、本物のアドバイザーは、多要素認証がどこで強制されているか、特権アクセスを誰が保有しているか、バックアップはどのように保護されているか、直近の復元はいつ行われたか、そしてソーシャルエンジニアリングや事業中断に対する副次的な補償限度額はどうなっているか、といった点まで深く掘り下げて確認します。
補償に関する判断は、質問票に署名したその日から法的な重みを持ちます。申込内容への回答は、保険金請求が発生した際に保険会社が参照する記録そのものとなり、宣伝されている補償限度額と実際に支払われる金額との間に生じるギャップは、多くの場合、インシデント発生前に定められた副次的限度額、待機期間、免責事項、管理策に関する表明事項に起因します。レジリエンス強化の取り組みは、あらゆる保険契約よりも上流に位置づけられるべきものです。保険は、それを裏付けるセキュリティ体制があってこそ機能するのです。
翻訳元: https://www.helpnetsecurity.com/2026/07/16/cyber-insurance-coverage-gap/