まさかの事態から企業を守る「個人情報漏洩賠償責任保険」──その実効性はいかに

賠償／補償内容と商品選定時のポイントを知る　Hot Topics［in Japan──国内ITの潮流をとらえる］

（2005年12月05日）

　例えば、事故発生時は顧客をはじめ、マスコミ、取り引き先、行政、株主など、各ステーク・ホルダー（利害関係者）への適切かつ速やかな対応が求められる。そこで、経験豊富なリスク・コンサルタントに相談することで、事故のインパクトを和らげる対処ができるとともに、対処のミスによるリスクの上昇を避けることができる。また、謝罪広告の出稿や謝罪状の送付は、被害者を2次被害から守るために大切な措置である。さらに、顧客からのクレームを受け付けるにあたり、コールセンターが活用されることも多い。

　これらの費用の負担はバカにならない。新聞報道によれば、大手携帯電話事業者の元派遣社員が個人情報を不正に入手して同社を脅した事件において、裁判所は、被害額として人件費や謝罪広告費用など合計1億円以上を認定している。

　また、こうした費用が発生するのは、不正アクセスや内部犯行といった法に抵触する漏洩事件だけとは限らない。メールやファクスの誤送信といっただれしもが犯すようなミスや、車上荒らし、盗難、置き忘れなどにより発生した情報漏洩事故についても対応が求められ、しかるべき費用が発生する。さらには、実際に漏洩が確認されていなくても、口コミや噂によって「個人情報漏洩のおそれ」を指摘されただけで、それにまつわる対応が強いられ、企業・組織はダメージを受ける。

　ちなみに、被害者に支払う「見舞い金（見舞い品）」も、費用損害として補償される場合が多いが、その際には注意が必要である。というのも、見舞い金の支払いについては1件当たりの上限が設定されている商品がほとんどで、その額も数百円から数千円程度である。したがって、センシティブ情報が流出して、わずかな金額を見舞い金として支払ったところで、被害者には大切な個人情報が低く値踏みされた印象を持たれ、逆効果となってしまうだろう。

　また、情報の漏洩件数は時間の経過とともに増大するケースが少なくない。したがって、事故当初に算出した見舞い金が保険でまかなえる金額だったからといって、支払いを約束してしまうと、事故の規模が拡大してしまった際も途中で支払いをやめるわけにはいかなくなってしまう。場合によっては、支払い総額が保険金の支払い上限をはるかに超えてしまうおそれもある。

　そもそも、金券の送付だけで漏洩事故を収束させることはまず不可能だ。保険によって見舞い金の出費をカバーしておくに越したことはないが、利用できる局面は限られていると考えたほうがよいだろう。被害者は、企業に対して、むしろ2次被害の防止や事故の原因究明などを求めている。

　なお、見舞い金が賠償金ではなく、事故対応費用としての補償金に含まれるのは、それが、法的責任によって支払われるのでなく、企業が誠意として送付するものだからである。

セキュリティ対策全般の底上げを行ったうえで保険導入のタイミングを図る

　言うまでもないことだが、個人情報漏洩賠償責任保険を導入する場合でも、各種セキュリティ対策を並行して進める必要がある。保険を契約することで、漏洩事故が発生した際、コンサルティング費用や事故対応費用などがカバーされるが、それはあくまでも事故がもたらす損害のダメージを和らげるだけで、ゼロには抑えられない。保険は、万が一の場合に金銭面から企業を守るためのものであり、セキュリティ対策の必要性をも担保するものではない。保険は、企業経営を守ることに万全を期すために導入されるべきである。

　ただし、ITに投じられる予算などの一時的な都合でセキュリティ対策が手薄な状態であれば、最初に保険を活用するのも手だ。セキュリティ対策の底上げは重要だが、セキュリティ対策は今日、明日で完成するものではない。そこで、保険によってフィナンシャル・リスクをヘッジしておき、その間に徐々にセキュリティ対策を充実させればよい。そうすることで、翌年には、セキュリティ対策によって割引が利いたり、填補額が下がったりして保険料の節約が実現されるはずである。

保険を導入するタイミング
　また、最もよい契約のタイミングについて知りたい向きもおられるだろう。この質問に対し、筆者だったら、「個人情報の保有リスクを把握し、それが経営に影響を及ぼすと認識した時点」と答える。現在保有している個人情報が漏洩してしまったとき、その事故が経営へ影響を与えるとわかったならば、早急に対応すべきである。当たり前のことだが、保険に未加入の状態で事故が発生してしまったら、保険金は支払われない。さらには、いざ保険を契約しようとしても保険会社が引き受けを拒否したり、保険料が割り増しになったりといったデメリットが発生する。

　ちなみに、個人情報漏洩賠償責任保険は、登場後まもないという事情もあって改定が多い。従来、対応していなかった補償の対応が突然開始されたり、有責だった補償内容が免責になったり、保険料率の値上げや値下げがあったりといった具合である。実際、本誌がお手元に届くころには、新商品や新しい特約が登場しているかもしれない。したがって、繰り返しになるが、自社で保有する情報のリスクを正確に把握し、それが経営に与える影響を与えると判断されたときが、個人情報漏洩賠償責任保険を導入するタイミングなのである。

COLUMN 次に目指すべきは「ITポートフォリオ管理」

　本文で紹介しているように、個人情報漏洩賠償責任保険は個人情報を扱う事業者を幅広く対象としているが、個人情報の取り扱いが重要視される以前から、IT事業者特有のリスクに対応した保険が発売されている。
　IT事業とかかわりが深いリスクは個人情報の漏洩だけではない。ISPやASPであれば、ネットワークやアプリケーションなどのサービスやデータの保全、開発ベンダーであれば、開発時の設計ミスやプログラミングのバグといったリスクを抱えている。これらは、IT事業者特有のリスクと言えよう。
　IT事業者のミスにより、こうした一連のサービスに不具合が発生し、その結果データが消失したり、インフラが停止したりして、ユーザーに損害が発生した場合、損害賠償が請求されるおそれがある。
　こうしたリスクへの備えとなるのがIT事業者向け保険である。主だった商品としては、通信事業者向けの保険や、IT事業全体を包括的にサポートする保険が挙げられるが、最近では、ホスティングやシステム・インテグレーションなど、特定のサービスを対象とする保険も登場している。
　IT事業者向けの保険は、保険会社によって補償する内容などが大きく異なる一方、個人情報漏洩賠償責任保険と補償内容が重なる場合もあるので注意が必要である。

（月刊Computerworld 2005年12月号に掲載）

前のページへ < ｜1｜2｜3｜4｜5｜