業務停止の損失もカバー？サイバー保険の利益補償

サイバー攻撃でシステムが停止すると、ITに依存する企業は売上が大幅に低下し、営業そのものができなくなる可能性があります。この逸失利益はサイバー保険の損害項目として補償が可能です。利益補償の仕組みと、保険金額を正しく設定するためのポイントを解説します。

システム停止がもたらす売上への影響

サイバー攻撃を受けてシステムが停止すると、企業は通常の業務を行うことができなくなります。特にITに強く依存している企業にとって、その影響は深刻です。

ランサムウェアに感染して情報にアクセスできなくなると、売上が大幅に下がるだけでなく、そもそも営業すらできないという事態に陥ります。ECサイトの運営企業であればシステムが止まれば売上はゼロになり、基幹システムに依存する製造業や物流業でも同様のリスクがあります。

復旧までの期間は数日で済むこともあれば、事前準備ができていない場合は数ヶ月から1年以上かかることもあります。その間の売上減少は、企業の存続に関わる問題です。復旧期間の具体的な実態についてはサイバー攻撃からの復旧期間は？実態を解説で詳しく紹介しています。

逸失利益はサイバー保険で補償できる

サイバー攻撃によるシステム停止中の逸失利益は、サイバー保険で補償することが可能です。ただし、基本補償に含まれるのではなく、利益補償特約というオプションとして付帯する形が一般的です。

サイバー保険の基本補償は主に以下の3つで構成されています。

• 損害賠償責任の補償（第三者への賠償金）
• 事故対応費用の補償（フォレンジック調査、通知費用など）
• 利益損害の補償（システム停止による営業損失）

このうち利益損害の補償は特約として設定するもので、契約時につけるかつけないかを選択します。

利益補償特約をつけていなければ、システム停止による逸失利益は保険の対象外になります。ITに依存する事業を行っている企業であれば、この特約の付帯を検討することをおすすめします。

保険金額の設定方法

利益補償の保険金額は、自社の利益規模に応じて設定する必要があります。契約時に保険会社から会社の利益がどのくらい出ているかをヒアリングされ、その情報をもとに保険金額を決めていきます。

保険金額が実際の利益規模よりも低く設定されていると、システム停止が長期化した場合に十分な補償を受けることができません。逆に過大に設定すれば保険料が無駄に高くなります。

適切な保険金額を設定するためのポイントは以下の通りです。

• 自社の月次売上と利益を正確に把握する
• システム停止が想定される期間を見積もる
• 復旧期間中に発生する追加コストも考慮する
• 保険の専門家と相談しながら金額を決める

保険金額は最低1億円を目安に

サイバー保険全体の保険金額は、1億円程度を目安に設定することが一般的に推奨されています。これは逸失利益だけでなく、フォレンジック調査費用や事故対応費用なども含めた金額です。

パソコン1台のフォレンジック調査に100万円がかかり、従業員30人から50人規模の企業でも事故対応費用だけで1,000万円を超えるケースがあります。そこに逸失利益を加えると、数千万円規模の保険金が必要になる可能性があります。調査・復旧費用の補償範囲についてはサイバー保険の補償範囲は？調査・復旧費用を解説で詳しく解説しています。

特に利益規模が大きい企業の場合、1億円では不足することも考えられます。自社の事業規模に合わせて十分な保険金額を設定することが重要です。

業務停止中に発生するコスト

システム停止中の損失は逸失利益だけではありません。復旧作業に伴う追加コストも企業の負担になります。

まず超過人件費です。サイバー攻撃が発生すると、IT部門の社員を中心に残業や休日出勤で対応にあたります。通常業務に加えて復旧作業に追われるため、超過分の人件費が膨らみます。

次にフォレンジック調査費用です。パソコン1台あたり100万円の調査費用は、台数が増えるほど大きな負担になります。売上50億円規模の中小企業でランサムウェア被害に遭った事例では、事故対応費用だけで約1,100万円がかかりました。

さらに新しいシステムの構築費用も発生します。被害を受けたサーバーは証拠保全のために保管する必要があるため、業務を再開するには新しいサーバーを構築しなければなりません。

実際の事例では、身代金の要求もなく情報漏洩も発生しなかったにもかかわらず、復旧費用だけで1,000万円を超えています。サイバー攻撃の被害は情報漏洩だけではなく、システムの復旧そのものに莫大な費用がかかることを認識しておく必要があります。ランサムウェアの被害額の実態については中小企業のランサムウェア被害額の実態を解説もあわせてご覧ください。

保険料の目安と費用対効果

サイバー保険の保険料は売上高と業種によって決まります。売上規模が大きいほど保険料も高くなりますが、被害額と比較すれば十分に合理的な投資です。

売上規模	年間保険料の目安
1億円程度	約10万円
数十億円規模	約100万円

上記は一般的な目安であり、実際の保険料は保険会社、プラン、補償内容、業種などの条件により異なります。

パソコン1台の調査だけで100万円がかかることを考えると、年間の保険料で万が一の被害に備えることは経済的に理にかなっています。

情報漏洩限定の補償であれば年間数万円から加入できますが、利益補償特約をつけると保険料は上がります。ただし、ITに依存する事業を行っている企業にとって、業務停止のリスクへの備えを検討しておくことは重要です。ITに依存する企業が取るべき対策はシステム停止=事業停止の企業がやるべき対策でまとめています。

利益補償を活用するためのポイント

利益補償を適切に活用するためには、いくつかのポイントを押さえておく必要があります。

まず契約時に自社の利益を正確に申告することです。過少に申告すると保険金額が不足し、実際の損失をカバーできなくなります。

次に利益規模の変動に応じて保険金額を見直すことです。事業の成長に伴って利益が増えた場合、保険金額もそれに合わせて引き上げる必要があります。

そして復旧期間を短縮するための体制を整えておくことです。バックアップの定期取得やインシデント対応マニュアルの整備は、復旧期間の短縮だけでなく保険金の早期着金にもつながります。復旧を早める企業の共通点については復旧が早い企業と遅い企業の違いとは？で解説しています。

保険の専門家と定期的に相談し、自社の事業規模に合った保険設計を維持することが大切です。