サイバー保険、入るだけでは意味がない
——使えるかどうかの確認ポイント

「サイバー保険に入っているから大丈夫」——そう思っていた会社が、いざ被害に遭ったとき「基本的なセキュリティ対策を講じていなかった場合は補償対象外です」と言われるケースが増えています。保険は入っただけでは安心できません。使えるかどうかを今すぐ確認してください。

サイバー保険の加入は増えているが……

サイバー攻撃のニュースが相次ぐ中、中小企業でもサイバー保険への加入が広がっています。保険料も年間数万円からのプランが登場し、「念のため入っておこう」という判断は決して間違いではありません。

問題は、保険証券を持っていることと、いざというときに補償を受けられることはまったく別の話だということです。損害保険業界では近年、サイバー保険の保険金支払い審査が厳格化しており、「対象外」と判断されるケースが報告されています。

免責事項の落とし穴——「対策不足」は対象外になる

多くのサイバー保険の約款には、次のような免責条項が含まれています。

「合理的なセキュリティ対策」の定義は保険会社によって異なりますが、一般的にはパッチ適用・バックアップ・アクセス管理・ログ管理などが含まれます。つまり、これらを怠っていた場合、保険に入っていても補償されない可能性があるのです。

今すぐ確認すべき4つのポイント

加入済みの保険、または検討中の保険について、以下の4点を必ず確認してください。特に「言った・言わない」のトラブルを防ぐため、約款の原文を確認することをお勧めします。

• 1

  免責金額はいくらか

  サイバー保険には自動車保険と同様に「免責金額（自己負担額）」が設定されています。たとえば免責50万円の場合、被害総額が100万円でも手元に残るのは50万円以下です。中小企業にとって50万円の自己負担は決して小さくありません。契約前に必ず確認を。

• 2

  ランサムウェアの「身代金」は補償されるか

  ランサムウェア被害で攻撃者に身代金を支払った場合、その金額が補償されるかどうかは保険によって大きく異なります。補償対象に含まれていても上限額が低かったり、「当局への届け出」が条件になっていたりするケースがあります。身代金の支払い自体を補償しない保険も存在します。

• 3

  事前のセキュリティ審査はあるか

  保険会社によっては、加入時または更新時に自社のセキュリティ状態の申告や審査が求められます。この審査で虚偽の申告をした場合、被害が発生しても保険金が支払われない（告知義務違反）リスクがあります。「審査なしで入れる保険」は補償範囲が狭い場合が多いことも覚えておきましょう。

• 4

  対応サポート（インシデントレスポンス）は含まれるか

  金銭補償だけでなく、被害発生時に専門家チームが対応をサポートしてくれるサービスが付帯しているかも重要です。サイバー攻撃を受けた直後は「何をすべきか」が分からず混乱します。専門家への相談窓口が24時間使えるかどうかは、実際の被害対応速度を大きく左右します。

保険よりも「事故を起こさない体制」が先

サイバー保険は、あくまでも万が一のリスクを金銭的に転嫁する手段です。保険に入ったからといって攻撃されにくくなるわけではありませんし、被害発生後の業務停止・信頼失墜・対応コストの全てをカバーできるわけでもありません。

保険の活用を否定するわけではありません。しかし正しい優先順位は「まずセキュリティ体制を整え、その上でリスク移転として保険を活用する」という順番です。体制が整っていない状態で保険だけ入っても、肝心なときに使えない可能性が高いのです。

セキュリティ診断を受けると保険料が下がるケースがある

実は、第三者機関によるセキュリティ診断の結果を提出することで、保険料の割引や審査通過率の向上につながるケースが出てきています。保険会社にとっても、事前に自社のリスク状態を把握・改善しようとしている企業は「リスクが低い顧客」と評価されます。

診断を受けることは「保険に入る前の下準備」としても、「保険更新時の交渉材料」としても有効に機能します。

まとめ——保険証券よりも先に確認すること

• サイバー保険は「入っているだけ」では安心できない。免責条件を必ず確認する
• 「基本的なセキュリティ対策不足」は補償対象外になる可能性がある
• ランサムウェアの身代金・免責金額・インシデントレスポンスの有無を約款で確認する
• 保険よりも「攻撃されにくい体制を作ること」が先。保険はあくまで最後の砦
• セキュリティ診断の実施が、保険料割引や審査通過につながるケースもある