はじめに

サイバー保険に入っていれば安心——そう考えている企業は少なくありません。しかし実際には、保険金請求の40%以上が拒否されているというデータがあります1。なぜ保険に入っていても保険金が下りないのか。本記事では、日本企業が見落としがちな免責条項の落とし穴を具体的な事例とともに解説します。

サイバー保険の免責条項とは

サイバー保険は、サイバー攻撃や情報漏えいで企業が受ける損害を補償する保険です。補償は大きく3つの柱で構成されています。被害者への損害賠償、調査や復旧にかかる費用の補償、そして事業停止による利益損失の補償です。

一方で、すべての損害が補償されるわけではありません。保険には「免責条項」があります。これは、特定の条件に該当した場合に保険会社が保険金を支払わなくてよいとする取り決めです。火災保険で地震による被害が補償されないのと同じ仕組みだと考えてください。

日本におけるサイバー保険の加入率は約7.8%にとどまっています2。米国の約47%と比較すると大きな差があります。グローバル市場は2025年の約262億ドルから2034年には約2,234億ドルに成長する見込みです3。市場拡大に伴い、保険の重要性は高まっています。

しかし問題は加入率の低さだけではありません。私がコンサル現場で見てきた限り、加入済みの企業でも免責条項の内容を正確に把握しているケースはごくわずかです。「保険に入っているから大丈夫」という安心感が、かえってリスクを見えにくくしています。ここからは、特に注意すべき免責条項の具体例を見ていきましょう。

申告内容の虚偽——MFA未導入で保険が無効に

サイバー保険に加入する際、企業は自社のセキュリティ対策状況を申告します。この申告内容に虚偽があった場合、保険契約そのものが無効になるリスクがあります。

代表的な事例が、2022年7月に提訴されたTravelers対ICS訴訟です4。ICS社は保険申込時に「多要素認証を導入済み」と申告していました。しかし実際には、多要素認証はファイアウォールの管理画面にのみ導入されていました。サーバーやメールシステムには未対応だったのです。ランサムウェア被害を受けて保険金を請求したところ、保険会社は「申告内容に重大な虚偽がある」として契約の遡及無効を主張しました。結果として、同年8月に和解が成立し、保険契約は始期に遡って無効とされました。

私がコンサル現場で経験した中でも、申告書の記載と実態の乖離は珍しくありません。情報システム部門が「導入済み」と回答したセキュリティ対策が、一部の拠点では未展開だったケースを何度も見てきました。

近年では、保険会社が申告内容を外部スキャンで検証する動きも広がっています1。公開資産を自動スキャンし、申告されたセキュリティ対策との整合性を確認するのです。申込書に記載するセキュリティ対策の正確性が、保険契約の命綱になっています。

戦争免責——国家支援型攻撃は補償対象外

保険業界には古くから「戦争免責条項」が存在します。戦争や武力紛争による損害は補償しないという取り決めです。この条項がサイバー攻撃にも拡大適用される流れが加速しています。

最も有名な事例が、製薬大手Merck社のNotPetya訴訟です。2017年のNotPetya攻撃でMerck社は約14億ドルの損害を受けました。保険会社は「NotPetyaはロシア政府による戦争行為だ」として約7億ドルの支払いを拒否しました。長期にわたる訴訟の末、2024年1月にようやく和解が成立しています5

この判例を受けて、保険業界は対応を急ぎました。ロイズ保険市場は2023年3月以降の新規・更新契約で、国家支援型サイバー攻撃の除外を義務化する通達を出しています6。日本でも三井住友海上、損保ジャパン、東京海上日動、あいおいニッセイ同和の大手4社が、2024年にサイバー戦争免責基準を導入しました7

私が特に懸念しているのは、攻撃者の帰属判定(アトリビューション)の曖昧さです。ある攻撃が国家支援型なのか、独立した犯罪グループによるものなのか。その判定は技術的にも政治的にも難しい問題です。判定が分かれれば、保険金の支払い可否をめぐる紛争に直結します。企業としては、自社の保険が戦争免責をどの範囲まで適用するのかを事前に確認しておく必要があります。

身代金・詐欺送金——払っても補償されない費用

ランサムウェア攻撃を受けた際に攻撃者へ支払う身代金は、多くのサイバー保険で補償対象外です8。「身代金を払って復旧した」としても、その費用は自社負担になる可能性が高いのです。

身代金が補償されない背景には、国際的な制裁規制があります。攻撃者が制裁対象の国家や組織と関係している場合、身代金の支払いそのものがテロ資金供与や犯罪組織への資金提供とみなされるリスクがあります。損保ジャパンのサイバー保険約款(2023年4月改定)でも、制裁リスクに関連する支払いは免責と明記されています9

同様に、ビジネスメール詐欺(取引先や経営者を装った偽メールによる不正送金)による振込損失も、多くの保険では免責扱いです。攻撃者の巧妙な手口で正規の送金手続きを踏んでしまうため、「従業員の判断ミス」として処理されるケースがあります。

私がコンサル案件で関わった企業の中にも、「サイバー保険に入っているから身代金は保険で賄える」と誤解していたケースがありました。実際の約款を確認すると身代金は明確に免責対象でした。こうした認識のずれは、インシデント発生時に大きな混乱を招きます。保険でカバーされる範囲とされない範囲を事前に整理しておくことが重要です。約款を読むだけでなく、想定されるインシデントごとに補償の可否を一覧にまとめておくと実務で役立ちます。

免責の落とし穴を避ける5つの対策

ここまで見てきた免責条項の落とし穴を避けるために、具体的な対策を5つ紹介します。

1. 申込書のセキュリティ申告は技術部門と連携して正確に記載する 申込書は管理部門だけで完結させず、情報システム部門と共同で記載してください。全拠点・全システムで対策が稼働しているかを確認する必要があります。

2. 申告した対策の「証拠」を文書化・定期更新する 多要素認証の導入状況、修正プログラム(パッチ)の適用履歴、ログの保存設定など、申告した対策が継続的に機能していることを示す証拠を文書化しましょう。保険会社の外部スキャンによる検証事例も報告されており1、文書化は自衛策として有効です。

3. 約款の免責条項を法務部門とIT部門で共同レビューする 約款は法務用語で書かれているため、法務部門だけでは技術的な免責条項の影響を判断しきれません。IT部門と共同で免責条項を読み解き、自社にとってのリスクを洗い出してください。

4. 戦争免責の範囲と攻撃帰属の判定基準を保険会社に確認する 戦争免責の適用範囲は保険会社や商品によって異なります。どのような攻撃が「国家支援型」と判定されるのか、その基準を書面で確認しておくことをお勧めします。

5. インシデント発生時の通知期限・証拠保全手順を事前に整備する 多くの保険では、インシデント発生から一定期間内に保険会社へ通知する義務があります。通知が遅れると保険金が減額・拒否される場合があります。通知期限と証拠保全の手順をあらかじめ整備し、関係部門に周知してください10

まとめ

サイバー保険は「入れば安心」ではありません。免責条項を理解し、申告内容の正確性を保ち、約款の内容を把握してこそ機能します。申告の正確性、約款の理解、証拠の文書化——この3つが保険を活かす鍵です。保険は経営判断の一部であり、契約書の中身を知らずに使うことはできません。まずは自社のサイバー保険約款を手元に取り寄せ、免責条項に該当するリスクがないか確認することから始めてみてください。

セキュリティ対策の課題を、一緒に整理しませんか?

SecureKernelではサイバー保険の運用やセキュリティ体制の見直しについてご相談をお受けしています。是非お気軽にお問い合わせください。

資料請求する →

脚注・注釈

  1. DCS New York「Why Over 40% of Cyber Insurance Claims Were Denied in 2024」(2024年)https://www.dcsny.com/technology-blog/cyber-insurance-claims-denied-2024/ 2 3

  2. 日本損害保険協会「サイバー保険に関する調査」(2019年3月)https://www.nikkei.com/article/DGXMZO42296680R10C19A3EE9000/

  3. Fortune Business Insights「Cyber Insurance Market Size, Share, Growth, Trends & Demand Report, 2034」(2025年)https://www.fortunebusinessinsights.com/cyber-insurance-market-106287

  4. Insurance Journal「Travelers Wants Out of Contract With Insured That Allegedly Misrepresented MFA Use」(2022年7月)https://www.insurancejournal.com/news/national/2022/07/12/675516.htm

  5. Cybersecurity Dive「Merck reaches settlement in closely watched NotPetya insurance case」(2024年1月)https://www.cybersecuritydive.com/news/merck-settlement-notpetya-insurance/703922/

  6. Clifford Chance「Lloyd’s cyber war exclusion」(2023年9月)https://www.cliffordchance.com/insights/resources/blogs/insurance-insights/2023/09/lloyds-cyber-war-exclusion.html

  7. 日本経済新聞「サイバー保険、国家関与は『戦争免責』損保4社」(2024年2月)https://www.nikkei.com/article/DGXZQOUC190YW0Z10C24A2000000/

  8. サイバー保険ガイド「サイバー保険の保険金の支払い事例・支払いタイミング、支払われない例は?」(2024年)https://cyber-insurance.jp/column/1078/

  9. 損保ジャパン「サイバー保険 業務過誤賠償責任保険普通保険約款」(2023年4月改定)https://www.sompo-japan.co.jp/-/media/SJNK/files/hinsurance/contents1/cyber_2304.pdf

  10. PwC Japan「サイバー保険加入の課題と活用に向けた重要論点」(2024年)https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/cyber-insurance-issues.html