まさかの事態から企業を守る「個人情報漏洩賠償責任保険」──その実効性はいかに

賠償／補償内容と商品選定時のポイントを知る　Hot Topics［in Japan──国内ITの潮流をとらえる］

（2005年12月05日）

　また、保険会社によっては、セキュリティ対策の実施状況により、保険料の割引などを行っている。よって、契約前にセキュリティ対策を強化しておけば、漏洩リスクの低下はもちろん、保険料の節約にもつながる。見積もりを依頼する際には、その点も確認しておくとよい。

　自社における個人情報を取り扱う際のリスクと各保険の具体的な補償内容やサービスを比較する際には、次に示した8個のチェック・ポイントに留意していただきたい。以下、これらのポイントのうち、特に重要なものを説明する。

個人情報漏洩賠償責任保険を選ぶ際の8つのポイント

1.補償対象となる個人情報の範囲
2.補償対象となる事故
3.保険金の支払い上限
4.事故対応費用に含める内容
5.業務委託元による求償時の支払い
6.コンサルティング会社の選定
7.導入コスト
8.特約／オプション

補償対象となる個人情報の範囲
　個人情報と一口に言っても、氏名や住所といった基本情報からセンシティブ情報（注1）までさまざまである。そのため、保険会社／商品によって個人情報の範囲が異なる。例えば、クレジットカード情報の漏洩を対象外としている保険もあれば、個人情報保護法では対象外の死者の個人情報を対象としている保険もある。そのほか、保険でリスク・ヘッジしたい個人情報のデータ種別をデジタルだけにするのか、それともアナログ・データも含めるのかとかということや、さらには破棄した個人情報の漏洩についてはどうするのかなど、あらかじめ明確にしておく必要がある。

補償対象となる事故
　保険会社によって、補償の対象とする事故の種類が異なっている。以下、2つの例を挙げよう。

　1つは、事故原因として、故意の漏洩を補償対象とするケースである。特約によって補償する保険もあれば、逆にデフォルトで対応していて特約で不担保にできる保険もある。

　もう1つは、保険期間が同じでも補償される事故の発生期間が異なるケースである。初年度の保険始期日以降に発生した事故を対象にしている保険もあれば、事故自体は保険始期日以前に起きた事故でも、その発覚が保険始期日以降であれば支払いの対象とする保険もあり、さまざまだ。

保険金支払いの上限
　保有している個人情報の件数や重要度に応じて、「賠償金の支払い上限」「事故対応費用の支払い上限」「免責金額」を設定する必要がある。なお、免責金額を上げることで、保険料を節約することが可能なため、余剰資金があって自己負担がある程度可能ならば、免責額を上げるという手もある。

業務委託元による求償時の支払い　
　個人情報を外部に業務委託している場合に、漏洩事故が発生した際には、その処理責任を委託元と委託先でどう配分するかが問題になることがある。例えば、漏洩事故の原因が委託先にある場合でも、事故対応は業務委託元によって行われるケースが多々ある。その場合、被害額がそのまま求償される可能性が高いが、保険によって求償の際に、支払う限度額が異なるケースもある。

コンサルティング会社の選定
　保険でコンサルティング費用が担保されている場合、コンサルティング会社の選定方法は商品によって異なってくる。保険会社が提携している会社を利用するか、あるいは自社で見つけた会社を利用することになる。保険会社が紹介してくれるのであれば、そこを利用するのも手だ。なお、自社と付き合いがあるコンサルティング会社へ依頼したい企業は、コンサルティング費用のサポートだけを受ければ十分だが、その場合でも支払いの対象となるかどうかを事前に確認しておくとよい。

特約／オプション
　保険会社によっては、個人情報だけでなく、機密情報といった個人情報以外の情報漏洩に対応していたり、不正アクセスに対応する特約やセキュリティ診断サービスなどを提供していたりする。また、保険約款には、支払う条件や免責事項など契約内容が細かく記されている。その内容は専門性が高いので、個人情報保護やITに精通した社内の担当者に相談し、自社のリスクに合っているかどうか、意見を求めることをお勧めする。

前のページへ < ｜1｜2｜3｜4｜5｜ > 次のページへ