一般にはあまり知られていないが、サイバー攻撃を受けた企業は、国の機関である個人情報保護委員会に対して報告義務がある。発覚から3～5日以内に速報、30日以内に確報を通報しなければならない。初動対応を誤れば損失は一気に拡大するので、事故対応は非常に重要だ。 　「火事に遭えば119番に電話するが、サイバー攻撃に遭遇した場合は誰に相談したらいいのか見当がつかない。被害を受けた企業が最も期待するのは事故対応だ」(新種保険部サイバー・特殊リスクグループ)

　サイバーセキュリティ保険は費用損害と賠償損害が軸になっている。費用損害はサイバー攻撃調査費用や謝罪会見などに要するコスト。賠償損害はほかの団体や法人にトラブルを与えた場合に備える。 　ECサイトによるクレジットカード情報漏洩では、カード会社がサイトを訴えるケースが少なくない。サイト側はカード情報を保有できないが、地方の通販サイトなどではセキュリティが脆弱で、こうした漏洩は少なくない。 　このため、同社は中小企業向けとして、21年10月からサービスと保険商品を一体化した「サイバー保険セキュリティプラス」を取り扱っている。

　近年はランサムウェア被害先の6割近くが中小企業で、大企業に部品などを供給している会社が被害を受けているケースが増えており、こうした状況に対応した。企業に対してセキュリティ対策をヒアリングし、その結果をまとめてスコアリング。対策支援ツールとしてセキュリティサービス業者を紹介する仕組みだ。 ■サイバー領域の保険とサービスを一体化 　グループ統一ブランドでサイバー領域の保険とサービスを一体化したのが、損害保険ジャパンだ。SOMPOリスクマネジメントとタッグを組み、統一ブランド「SOMPO CYBER SECURITY」の下でサイバー保険を取り扱っている。

　SOMPOリスク社は18年からサイバーセキュリティ事業に参入。セキュリティコンサルティングや脆弱性判断などのリスク評価、危機演習やメール訓練の研修・教育サービスなど、広範なセキュリティ対策支援をこれまで1000社以上に提供してきた実績がある。24年5月からは損害保険ジャパンと統一ブランドを掲げている。 　同社がサイバー攻撃などのセキュリティ対策で重要視しているのは、平時と有事の切り分けだ。平時は損害を事前に防止するためセキュリティリスク評価や態勢整備のコンサルティングを行い、有事に際しては損害拡大を防止・軽減する狙いから24時間365日、サイバーインシデントサポートデスクで対応する。事故対応はSOMPOリスク社が担い、補償は損害保険ジャパンが役割をこなす。