セキュリティに王道なし - 個人情報漏洩向け保険を考察する
9月1日、朝日新聞朝刊のトップを飾ったのは「顧客情報漏洩対策、中小企業も本腰 『漏洩保険』に人気 」という記事だった。記事では中小企業において個人情報漏洩に対する意識が高まっており、損害賠償への危機が募っていることが報じられていた。また、それらリスクを担保する「個人情報漏洩保険」に人気が集まっていることも紹介されている。
IT保険ドットコムではその名の通り個人情報漏洩向け保険を紹介している。実際、多くの反響を頂いているが、大手新聞社が一面のトップに記事を持ってきたのは、さすがに驚いた。
今回の報道に対し、個人情報漏洩向け保険の存在を多くの人に知ってもらえたうれしさもあるが、むしろ私としては、保険の一面性が強調されてしまい、「保険にさえ入れば大丈夫」といった風潮が生まれないか懸念している。
ただ闇雲に保険へ加入しただけでは、企業を守ることはできない。今回は、個人情報漏洩対策向け保険を選ぶ上でキーポイントになる点を解説してみる。なお、個別商品の比較などは行わない。
名前が似ていても保険の内容は十人十色
まず、覚えておいて欲しいのは、保険会社によって補償内容がまったく異なるという点だ。
そもそも補償対象となる「個人情報」の定義自体が統一されていない。ある保険は、個人情報保護法の「個人情報」と同様の定義をしているが、一方は同法における「個人データ」と同じだったりする。つまり、前者ではデータベース化されていない情報も補償の対象だが、後者では対象とならない。これだけでも大きな違いだといえよう。
そのほか補償内容にばらつきがある内容としては以下のような点が考えられる。もちろん、これらは一例であり、そのほかにもさまざまな差異が存在している。
・補償対象となる個人情報の定義
・導入コスト(セキュリティ導入状況による割引)
・保険金の支払いリミット
・免責金額
・故意でも対応するか、過失のみか
・内部犯行でも支払対象となるか
・設定ミスの場合、補償するか
・クレジットカードなどの不正使用に対応するか
・被害者以外(発注者など)の求償に対応するか
・個人情報以外の機密情報漏洩への対応するか
・事故発生時のコンサルティングサービスの有無
・事故対策費用における担保の有無
・見舞品送付費用における担保の有無
・加入以前の漏洩を担保するか
「導入コスト」はどこの企業でも検討事案となるだろう。しかし、企業を守る上で本当に大事なのは「補償内容」だ。保険によっては一見同様の補償をつけているように見えても、補償するタイミングが異なったり、補償する金額に条件が付くなど、細かい違いもある。導入する際は、企業のリスクと保険内容を比較検討しなければ、事故が起きた際に保険が役に立たないなどという悲劇も考えられる。
保険の限界を知ることが大切
保険は、事故が発生し、損害賠償が請求された際、金銭的なリスクを保険会社へ転嫁するものだ。わずかな保険料で個人情報漏洩といった大きなリスクへ対応できるのはたしかに魅力だ。取引先や被害者へ金銭的な補償も可能になる。
しかし、保険には当然「限界」があるのだ。「安心」という部分に注目が集まり、「保険さえあれば大丈夫」といった誤解生まれないか大いに不安だ。
個人情報漏洩向けの保険では、コンサルティング費用や事故対策費用が付帯するなど、事故時におけるサービスに各社力を入れている。しかしこれらサービスは、企業の「セキュリティレベル」そのものを向上させるものではない。保険に入ったから事故率が下がるわけでもなく、顧客情報が守られるわけではない。
コンサルティングサービスが提供されることにより、効果的な事故対応を行うことも可能だ。しかし、事故発生時にまったくセキュリティ対策が行われていなければ、やはり大きな責任が問われる。イメージダウンを防ぐにも限界があるのだ。
個人情報保護法が引き合いに出されることも多いが、保険に入ったからといって、同法律への対策を行わなくてよいわけでもない。
また、先に述べたように補償内容が保険ごとに異なる。企業のリスクにそぐわない保険を導入していれば、金銭的な補償すら受けられなくなってしまう。
保険会社各社が、漏洩対策保険を投入している。安易な宣伝合戦になってしまうと、「保険の限界」があまり強調されなくなり、保険自体を「過信」するようになってしまう。「保険に入ればセキュリティ対策はいらない」となれば、本来大切な「セキュリティ対策」がおろそかになってしまう。
保険を理解すればこそ、強い味方になる
重要なのは、社内にどのようなリスクがあり、それらリスクをどのようにコントロールしていくか、だ。その上で保険や他のセキュリティ対策を有効に組み合わせ、企業を守っていくことが重要だ。
現在、個人情報漏洩のリスクは事前セキュリティ対策だけでは回避できない問題であり、そのような点において、金銭的な補償が受けられる保険は強い味方だ。貯蓄などと大きく異なり、経費として扱うことが可能だし、事故が発生した場合も、資本の減少を防ぐなど、経営者にとっても魅力も多い。
事前対策でセキュリティの向上を図りながら、大きなリスクは保険で転嫁する。セキュリティ対策を施しておけば、保険が割引になることもある。両方の導入コストのバランスを見ながら、最大限のパフォーマンスを引き出す必要があるだろう。
保険は、セキュリティ強化までの「リードタイム」を稼ぐといった便利な側面もある。昨日今日で強固なセキュリティ環境を実現することは難しい。一方、保険の導入は非常にスピーディだ。保険を導入して大きなリスクをヘッジしながら、着実に体制を整えるということが可能となる。
導入にあたって
導入にあたっては、保険内容を精査すること。そして他のセキュリティ対策と平行して考え、できるだけコストパフォーマンスを向上させることが重要だ。保険内容は日々進化している。専門家のアドバイスに是非耳を傾けて頂きたい。また、複数保険会社を比較し、企業のニーズに合った保険の導入を実現してほしい。
(Security NEXT - 2004/09/06 )
ツイート
PR
関連記事
ふるさと大使190人へのメールで誤送信が発生 - 宇部市
「MS Edge」にセキュリティ更新 - 「Chromium」の修正を反映
代理店用システムに不具合、一部個人情報が閲覧可能に - パーソルキャリア
関通でランサム被害 - 物流関連サービスで影響が波及
Apple、「iOS 18」を公開、複数脆弱性を解消 - 旧OS向けにも
「Ivanti CSA」脆弱性の悪用が判明 - 侵害状況の確認を
1週間で脆弱性7件を悪用リストに追加 - 米当局
9月のMS月例パッチで「悪用なし」の脆弱性 - 7月以前に悪用
先週注目された記事(2024年9月8日〜2024年9月14日)
GitLab、クリティカルパッチを公開 - 脆弱性17件に対応