保険コラム

　新型コロナウイルスのまん延に歩調を合わせるように、世界的にサイバー攻撃が増加しています。（注1）

   日本では欧米諸国に比べてサイバーリスク対策が遅れているとの話（注2）を聞きます。これはなぜでしょうか？

   欧州では2018年5月に重要インフラ事業者にセキュリティ対策を義務化、また同月に巨額な制裁金と個人情報漏えい判明後72時間以内のデータ保護当局への報告義務を有する一般データ保護規則（GDPR）が施行されたことなどがきっかけとなり欧州の企業におけるサイバーリスク対策が一気に進んだものと思われます。

　一方アメリカにおいても50すべての州において個人情報漏えい時の通知義務（各州により条件や罰則規定は異なりますが）を課す州法が存在している（注3）ほか防衛調達に参加する企業には高水準のセキュリティ対策（SP800-171）が義務化されております。

　さて日本はといいますと2014年にサイバーセキュリティ基本法が公布され、2015年には日本のサイバーセキュリティ対策のかなめとなる内閣官房内閣サイバーセキュリティセンター（NISC）が設置され（注4）ましたが、情報漏えいに関しては欧米なみの強力な規制等は存在しておりませんでした。しかしながら2022年4月1日に施行されるいわゆる3年ごと見直しによる改正個人情報保護法において、一定数以上の個人情報が漏えいし個人の権利利益を害するおそれがある場合に個人情報保護委員会への報告と本人への通知が義務化され、法人に科される罰金刑最高額が50万円から1億円に引き上げられる（注5）ことになり、日本においてもなんらかの対策が必須の状況となりました。

　今後上述の改正個人情報保護法の施行に加え、オンライン診療やオンライン資格確認などの医療サービスやデジタル技術を活用した医療機器が普及するに伴って、医療業界においてもサイバーリスク対策が不可避であることは明らかです。とはいえ、サイバーリスク対策については組織の代表者が重要性を理解し、率先して組織全体の課題として対策に取り組んでいかなければならないという側面も有しています。

   まずはサイバー保険に加入するというのもサイバーリスク対策の一つといえます。

（注１）出典:NICTER観測レポート2020より

（注２）出典：国際戦略研究所（IISS）調査レポート「サイバー能力と国家パワー」より

（注３）出典：Foley＆Lardner LLPホームページ「州のデータ侵害通知法チャート」より

（注４）出典：総務省「我が国のサイバーセキュリティ政策の概要」より

（注５）出典：個人情報保護委員会ホームページ「令和2年　改正個人情報保護法について」

ｑｑｑｑｑｑｑより