AIGのグローバルとの連携ならびに企業や社内との関わりを通して、今感じているサイバーリスク保険の可能性について語ってもらった。
※本記事はAIG損害保険による寄稿記事です
サイバーリスクのプロが
辿り着いたサイバー保険という可能性
情報通信ネットワークの進化やビジネスのグローバル化、日本国内では個人情報保護法の改正もあり昨今「サイバー保険」への注目度は上昇している。今でこそ多くの損害保険会社が取り扱っているが、AIG損保はこの保険を日本でいち早く取り扱い始め、ニーズに合わせて進化し続けている。一方で、企業からはサイバーリスクの脅威を感じるものの、具体的なリスクや起こりうる損失に関しては客観的な判断が難しく、どう対処して良いか分かりづらいという意見が多いのも事実。こういった声に応えるべくサイバーセキュリティのスペシャリストとして「サイバー保険」の分野で活躍しているのが、AIG損保でサイバーリスクアドバイザーとして勤務する中村玲於奈だ。
前職でサイバーセキュリティのコンサルタントに就いていた中村は企業がサイバーリスクと向き合う姿勢に危機感を覚えていた。
「企業のサイバーセキュリティやリスクマネジメントを担う部署に対して、サイバーリスク対策についてどれだけ助言をしても予算やシステムの制約などの理由で実施に至らないままサイバー攻撃の被害に遭ってしまうケースが少なくなく、無力さを感じたことがありました」
そんな中、とある企業の動きが自身のキャリアにも影響を与えることになる。
「多要素認証*1システムの導入を勧めても導入に至らなかった企業が、サイバー保険への加入を機に保険会社の要望に応じて取り入れたと聞きました。なかなか導入に踏み切らなかった企業でサイバー保険加入がモチベーションとなりセキュリティ強化を後押ししたのかと驚いたと同時に、まずはサイバー保険の認知度を上げることが多種多様な企業のサイバーリスクの軽減に繋がるのでは?と、新たな気づきを得ました」
サイバー保険はもしものときのリスクファイナンスとして認知されている。しかしもう一つの大きな役割として加入時に保険会社から客観的なリスク評価を受けるため、脆弱性がある場合、自社の課題に向き合うことができる。自身がサイバー保険の仕組みを深く理解した上で、企業へサイバーセキュリティ対策の改善が提案できれば今後さらにニーズが高まるであろうこの分野で貢献できるのではないか。中村はそう考え、AIG損保のサイバーリスクアドバイザーに就任した。
「企業のリスクを見極め、リスクに見合った最適な保険設計をするというAIGの姿勢は自分が培ってきたサイバーセキュリティ分野での知識や経験が活かせると思いました」
グローバルで共有される多角的な情報と
蓄積された専門知識から
導き出されるリスクソリューション
中村の役割は大きく分けて3つある。エバンジェリスト*2として、代理店やブローカーに対してサイバーリスクについてのトレーニングを行い、営業活動にその情報を活かしてもらう普及活動。さらに、各企業のサイバーセキュリティ対策状況を分析・評価し、アドバイスを行うコンサルティング業務。そして、サイバー事故があった際、保険契約締結時に得た企業のサイバーセキュリティ対策状況との整合性を確認し、保険事故の妥当性を見極めること。
「いずれの業務もグローバルと連携することで、多角的かつ最新情報を活用することができる」と中村は力を込める。
「サイバー攻撃は国や地域を問わずリスクがありますが、日本では相対的に顕在化していません。しかし海外で起きていることは、決して他人事ではないため少しでも身近に感じてもらえるよう、国内外の様々な情報から自分なりに因果関係を明らかにしてトレンド発信に役立てています。また、サイバー攻撃に直面したときもレポート内容と事故状況の整合性を精査します。その際、他の国や地域のサイバーリスクアドバイザーから寄せられている多角的な情報を参考にしています」
サイバーリスクは企業規模による基準や一般論がないため、AIG損保では保険を提案する際、企業に質問項目に回答してもらい、リスクスコアやビジネスへの影響度、推奨される対策などを分析・評価し、それを元にリスク状況を見極め、保険を設計している。その際、場合によってはリスク対策の改善に役立つフィードバックも提供している。
「セキュリティ対策についての質問書を元に保険の提案をしたがお客さまの期待する内容でなかったようだと、営業担当から相談がありお客さま企業の担当者と面談したことがありました。直接お話を伺うことで、質問書だけでは完全に把握することができなかったお客さまのセキュリティ対策の実態に触れることができ、結果として期待を上回る提案をすることができました。サイバー保険は日本ではまだ十分に浸透していないソリューションだからこそ、興味を持っていただいた企業にヒアリングし、そのリスクをよく理解した上でニーズにあった提案をすることが求められているということがわかる事例でした」
さらに中村はこう続ける。
「こんなケースがあるから意見を聞かせてほしいという社内からの依頼に応えたいですし、毎週行っているグローバルチームとのミーティングで得た情報は日本でどう活かすかを常に考え自分なりの所見を伝えて、提案に役立ててもらいたいと思います。グローバルな連携がスムーズなAIGだからこそ、お客さまに納得いただける保険を提案する余地は存分にあると考えています。」
中村に、今後の目標を聞くと「日本をサイバーリスクに強い国にしたい」と言葉を強める。
「サイバーリスク対策の必要性は企業規模に関係ありません。だからこそ、この分野においてのリスクコントロールとリスクファイナンスについてもっと広く知ってもらいたい。企業が自社のセキュリティ対策の脆弱性に気づいていないことが一番危険です。そのためにはまず、AIG損保の営業や代理店の担当がお客さまの課題となっているサイバーリスクについて的確に提案できるよう情報を提供し、個々の企業にとってのリスクソリューションを一緒に考えていきたいと思っています」
中村 玲於奈(なかむら・れおな)◎AIG損害保険株式会社 経営保険部サイバーリスクアドバイザー。2023年9月AIG損害保険株式会社に入社。外資系ITベンダー/セキュリティベンダー、監査法人系コンサルティングファームを経て現職。これまで大規模システム開発や様々なサイバーセキュリティコンサルティング業務に従事し、現在は、サイバー保険にかかるサイバーリスクのアドバイザリー業務を担当。
*1多要素認証:知識要素・所持要素・生体要素の2つ以上を組み合わせて本人確認を行う方法
*2エバンジェリスト:ITのトレンドや技術をユーザーに分かりやすく説明し、啓発活動を行う役割を担う人材
AIG損保のグローバルリスクマネジメント
https://www.aig.co.jp/sonpo/global
