ImranAhmad著
パートナー、 Miller Thomson LLP

今年の夏の初め、カルガリー大学 ランサムウェア攻撃の犠牲者であり、購入したサイバー保険は攻撃のフォールアウトに対処する上で非常に貴重であることが証明されたと公に述べています。間違いなく、組織はサイバーインシデントが発生した場合に役立つ保険に加入することをますます検討しています。最近の PwC によると レポートによると、サイバー保険市場は2020年までに3倍の75億ドルに設定されています。

そのような背景から、あなたの組織はサイバー保険に加入する必要がありますか？もしそうなら、どのようにビジネスケースを作成し、組織がそのニーズに最も適したポリシーを確実に取得するためにどのような手順を踏む必要がありますか？

あなたが立っている場所を知る

サイバー保険を購入する前に、組織は少なくとも次の手順を実行して、実際のニーズに基づいて適切な製品を確実に入手できるようにする必要があります。この評価には、次の手順を含める必要があります。

リスク評価：

人間、物理、ネットワークのセキュリティ、プライバシー、サイバーインシデントへの備えに関連する内部ポリシーとプロトコルを評価します。

リスクマッピング：

潜在的な曝露を特定します。これは、さまざまな方法で行うことができます。たとえば、ビジネスの部門/部門のリスクスコアカードを保持する、ビジネスのサイバーインシデント対応ポリシーとプロトコルのギャップ分析を実施する、リスクマップを作成して重要なプライバシーと情報セキュリティのリスクを評価します。

ベンチマーク：

さまざまなサイバーインシデントシナリオ（「軽度」から「壊滅的」まで）を検討し、業界の比較対象に基づいて各シナリオに関連するコストをベンチマークします。

保険カバレッジギャップ分析：

ビジネスの現在の保険契約を確認して、補償対象と対象外を判断します。

この評価に基づいて、企業は、保険を求めても構わないと思っているサイバーリスクの種類（プライバシーとネットワークのセキュリティ、規制責任、危機管理、ネットワークの中断、情報資産の補償範囲、恐喝など）を判断するのに適した立場にあります。 ）。また、これらの手順は、組織がサイバープロファイルを理解するための手順を実行したことを保険会社に示し、サイバーポリシーに関連する保険料の削減にも役立つ可能性があります。

保険はどのような保護を提供しますか？

原則として、サイバー保険は、ファーストパーティの損失とサードパーティの責任を補償します。 ファーストパーティの損失補償 以下が含まれます：

プライバシー侵害：

これは、サイバーインシデントの調査、規制当局への通知、影響を受ける顧客への通知、および信用監視の提供にかかる費用をカバーします。

サイバー恐喝：

企業のデータやネットワークのロックを解除したり、損害を与えたりしないことと引き換えに、ハッカーの金銭需要に対応するための補償範囲。最も一般的な例は、ランサムウェア攻撃です— 2016年に大幅に増加しました。

データ回復：

専門家がインシデント後に失われたデータを復元または回復するための補償範囲。

ネットワークの中断と追加費用：

事業が停止した場合の事業の復旧に関連して失われた収入または費用を払い戻す。 第三者の責任に関して 、サイバー保険は通常、次の種類の補償を提供します。

技術および専門職賠償責任：

サイバーインシデントに関連する過失に対する訴訟を弁護および補償するための補償範囲。

プライバシー傷害：

データ侵害によるプライバシーの侵害を主張する当事者による訴訟の防御と補償。

ネットワークの損傷：

サイバー事件の結果としてネットワークに損害を与えた当事者による訴訟の補償範囲。

プライバシー規制の手続き：

サイバーインシデントから生じる規制措置の補償範囲。

その他の考慮事項

組織の規模、運営する業界、保持するデータの種類、潜在的なリスクエクスポージャー、およびその他の考慮事項は、組織が求めるサイバー賠償責任保険の範囲に影響を与えます。サイバーリスクの範囲のどこにあるのかを明確に理解することは、企業が適切なサイバー賠償責任保険に加入できるようにするために重要です。この演習では、サイバーポリシーに含める必要のある保険料とサービスについて交渉する際に、組織に通知します。

標準的な商業一般賠償責任（CGL）、エラーと脱落（E＆O）、および取締役と役員（D＆O）のポリシーは、これらの補償範囲の一部をすでに提供している場合がありますが、組織が注意を怠ると、これらのポリシーにサイバー侵害の除外が存在する可能性があります。サイバーインシデントに効果的に対処するために必要となる支援の種類を制限する可能性があります。

重要なポイント

サイバー保険は、あらゆる組織のリスク軽減戦略の一部である必要があります。とはいえ、すべてのサイバーポリシーが同等であるとは限らないため、組織は最初に特定のニーズ、リスクエクスポージャーを評価してから、最良のサイバー保険の補償範囲について交渉する必要があります。

* Imran Ahmad 法律事務所のパートナーです Miller Thomson LLP トロントで、サイバーセキュリティ法の分野を専門としています。彼の連絡先はiahmad@millerthomson。comです。