IT業務賠償責任保険とは
さて昨今、IT情報システム・ネットワークに関しては、社内外での大量のデータ交換や顧客との商取引機会の創出等、仕組みの先進化および活用領域の拡大には目を見張るものが上げられます。
その一方で、IT情報システム・ネットワークは、いかなる時も不意の停止、不正アクセス、情報漏えいやウイルス感染といったリスクにさらされておりますが、その被害が顧客や第三者にまで及んだ場合の損害は計り知れないものと思われます。また、個人情報の漏えいに関して、平成17年4月1日より個人情報の保護に関する法律(個人情報保護法)が完全施行され、一定以上の情報を取扱う事業者等は、個人情報の所持・管理について法的な義務を負うこととなり、業種を問わず会社・団体の運営における重要な課題となっています。
IT情報システム・ネットワークを通じた職務を行う上での社会的責任を考慮した場合、情報セキュリティについて万全な安全対策を講じることは当然のこととは存じますが、現在の技術では完全にリスクの制御、遮断、防止を行うことは極めて困難といえます。
弊サイトでは、IT情報システム・ネットワークの構築、運営などを直接事業として行われるIT事業者であるお客さまのリスクに幅広く対応した保険として、「IT業務賠償責任保険」の概要をご案内させていただきます。
IT業務賠償責任保険の概要
・この保険の対象となる事業者
年間売上高3,000万円以上で、年間売上高の50%以上を次の業務が占める事業者を対象としています。
パッケージソフトウェア開発事業者、保守サービス(ホスティング・ハウジング含む)、セキュリティサービス事業者
システムインテグレータ、ネットオークション事業者、システムオペレーション・データ入力事業者
アプリケーションサービスプロバイダ(ASP)、インタ-ネットサービスプロバイダ(ISP)、コンテンツサービスプロバイダ
・被保険者(補償の対象となる方)の範囲
被保険者は、会社 およびその取締役、監査役等の役員となります。
★同一契約で子会社・関連会社などを被保険者に加えたり、特定の事業(部)だけを対象とするご契約はできません。
・保険期間(ご契約期間)
保険期間は、各保険会社とも1年間 となります。(長期・短期のご契約はできません。)
保険金をお支払いする主な場合
1.貴社が、日本国内において情報システムまたはネットワークを所有、使用または管理し、または電子情報を提供するにあたり、職業上相当な注意を用いなかったことに基づき、次のいずれかに該当する事由に起因して提起された損害賠償請求について法律上の損害賠償責任を負担することによって被る損害に対して、保険金がお支払われます。
①原 因・・・情報システム・ネットワークの全部または一部の停止
事 由・・・他人の業務の遂行の全部または一部の休止または阻害
②原 因・・・ 不正アクセス、コンピュータ・ウイルスまたはコンピュータ・ワームの感染
会社が提供する電子情報の瑕疵
事 由・・・他人の業務の遂行の全部または一部の休止または阻害
電子情報の消失または損壊
③原 因・・・貴社が提供する電子情報
事 由・・・他人の人格権侵害または著作権侵害
2.会社が日本国内において保険証券記載の業務を遂行(一時的な日本国外での業務遂行を含みます。)するにあたり、職業上相当な注意を用いなかったことに起因して提起された電子情報の漏えいにかかる損害賠償請求について、法律上の損害賠償責任を負担することにより被る損害に対して、保険金が支払われます。
(保険始期前に生じた漏えい事故でも、その発生を知らなかったことに合理性がある場合は、保険金支払の対象となります。)
3.職業上相当な注意を用いなかったことに基づき、日本国内において不測かつ突発的に生じた原因によって生じた上記①または②の事由に類似の事由に起因して提起された損害賠償請求について、法律上の損害賠償責任を負担することによって被る損害に対して、保険金をお支払いします。
IT事業者における事故事例
1.ソフトウエア開発会社が開発した料金請求ソフトにプログラムミスが発覚、同ソフトの利用企業が調査してみると、請求金額が実際よりも少なく計算されていたことが判明した。複数の同ソフト利用企業から同様の事故によって請求が不可能な一部顧客への請求不足額について、損害賠償請求を提起された。 ⇒ 提供された電子情報の瑕疵により、他人(利用企業)の業務が阻害されたので、この保険の対象となります。
2.得意先の委託を受けて同社のサーバーの管理運営を行っていたが、管理上のミスで得意先のサーバーを停止させ、結果的に得意先の業務を停止させてしまった。同社から業務停止による逸失利益につき損害賠償を提起された。 ⇒ 管理している情報システム・ネットワークの停止による他人の業務停止なので、この保険の対象となります。
3.自社のネットワークサーバーがウイルスに感染し、取引先がアクセスした際に取引先のネットワークにウイルスが混入し、ネットワークを一部損傷させてしまった。取引先からネットワークサーバー運営の過失を理由に、ネットワーク修復費用につき損害賠償請求を提起された。⇒ コンピュータ・ウイルス感染により、他人の電子情報を損壊させたので、この保険の対象となります。
4.情報サービス業者が、医療法人より業務委託を受けて、電子カルテ管理システムの開発を請け負ったところ、情報サービス業者の従業員が故意に患者情報の生データをUSBメモリーにコピー、外部業者に販売していたことが判明した。この事実を知った患者複数から医療法人に対し、個人情報漏えいによる精神的苦痛などで損害賠償請求が提起されたため、医療法人から情報サービス業者に対して損害賠償請求を提起された。⇒ 業務遂行における職業上の注意・管理が原因で個人情報が漏えいしたので、この保険の対象となります。
5.管理不備によりハッカーに自社システムの管理者権限を奪われ、自社サーバーが「踏み台」となって、他の企業のネットワークに不正アクセス がなされていた。不正アクセスのため一時的にネットワークが使用できなかったことに起因して生じた損失について、その会社から損害賠償請求を提起された。⇒ 不正アクセスにより、他人の業務を阻害したので、この保険の対象となります。
情報漏えい対応費用
万一、情報漏えいが生じた場合、的確で迅速な対応を行うことがより大きな損害の発生防止に役立ちます。
①社告・会見等費用
漏えいに関する状況説明および謝罪のため、新聞またはテレビ等を通じて行う場合の社告、会見等に要した費用をいい、
原因調査等終了後の対応完了報告を含みます。
②事故原因調査費用
③コンサルティング費用
情報が漏えいしたことに対して第三者のコンサルティングや助言を受けるために要した費用をいいます。
④使用人の超過勤務手当、交通費または宿泊費
⑤通信費
謝罪文の作成・送付費用を含みます。なお、被害者対応のための通信業務を外部に委託する場合は、その委託費用とします。
⑥見舞金・見舞品購入費用
情報漏えいに関する事故事例
・ADSL接続事業者・・・漏えい情報数(推定)140万人 事故の内容等・・・自社の顧客情報が流出
・ISP事業者・・・・・・漏えい情報数(推定)460万人 事故の内容等・・・
DVDに記録されたブロードバンド契約者情報が流出、恐喝事件となる一方、被害者に対して500円/件の金券を配布
・データ入力受託業者・・・漏えい情報数(推定)約8万人 事故の内容等・・・
委託先の会員情報が、自社から流出。委託先が負担したコールセンター設置費等で約1億円の損害
・システム開発・保守・・・漏えい情報数(推定)約6,600件 事故の内容等・・・
業務再委託先の社員がハードディスクが入った鞄を紛失
・システムインテグレ-タ・・・漏えい情報数(推定)約800人 事故の内容等・・・
社員の私用PCがウイルスに感染し、Winnyネットワーク上に流出
IT事業者の受託業務に起因するもの
・プログラムバグ・・・漏えい情報数(推定)約3,500人 事故の内容等・・・
メガバンクの変更案内発送において口座番号や取引先名を誤って記載、送付
・不正アクセス・・・漏えい情報数(推定)約800人 事故の内容等・・・
イベントHPの運営を受託、不正検知システム導入で発覚、メルマガ登録者情報の流出が判明
・不正アクセス・・・漏えい情報数(推定)約6,700人 事故の内容等・・・
オンラインショッピングのサーバー運営を受託、不正アクセスを受け、委託先の顧客情報が流出
情報システム等復旧費用(情報システム等復旧費用補償特約)
IT賠償責任保険の基本契約に基づいて、損害賠償保険金が支払われる場合や情報漏えい対応費用補償特約に基づいて費用保険金が支払われる場合に、その原因となった事由と同じ事由によって生じた、貴社が日本国内で所有、使用または管理する情報システムまたはネットワークの損傷および情報の消失、損壊について、それらの修復または同様のものを再製作または再取得等するために支出した次のいずれかに該当する費用を負担したことによる損害に対して、保険金をお支払われる特約です。
お支払いする保険金の例
- 1.お支払いする保険金の計算例 : 不正アクセスによる業務停止ケース( 賠償責任支払限度額1億円/費用総支払限度額3,000万円/情報システム等復旧費用補償特約をセット/免責金額0円の場合)
注:復旧費用は、費用総支払限度額の10%または500万円のいずれか低い額が保険金として支払われ、この例では300万円が限度となります。
例として、甲社が受託・管理するサーバーに不正アクセスがあり、サ-バ-がダウンした結果、委託先の業務が数週間にわたり停止し、委託先に1,000万円の逸失利益が発生、総額2,500万円の損害賠償責任を負った。また、甲社ではファイアウォール強化など再発防止対策などに200万円の費用が発生した。計算:委託者からの損害賠償請求:2,500万円 再発防止対策費:200万円 ⇒費用以外の求償額:(2,500万円-0円) = 2,500万円
再発防止対策費の額:200万円×90%(縮小支払割合)=180万円<300万円∴ 合計 2,680万円 - 2.お支払いする保険金の計算例 : 情報漏えいケース(B社がご契約者) ( 賠償責任支払限度額1億円/費用総支払限度額3,000万円/免責金額 0円の場合)
例として、A社顧客データの入力業務を受託していたB社の社員が入力用データを許可無くコピーし、名簿業者へ販売したことからA社顧客情報5万件分が流出したことが判明。A社は謝罪広告を掲載、被害者全員に見舞金500円を支払った。また被害者の一部300人が損害賠償請求を提起、1名あたり1万円を損害賠償金として支払った。その後、A社は一連の損害についてB社に6,600万円の求償を行った。A社からの請求額内訳謝罪広告、原因調査等:1,800万円見舞金支出:2,500万円A社顧客への損害賠償金300万円、争訟費用等1,000万円A社の営業自粛による損失:1,000万円
⇒費用にかかる求償額=4,300万円>3,000万円費用以外の求償額=1,300万円A社の営業自粛による損失の求償額=1,000万円∴合計 5,300万円-0円=5,300万円
IT業務賠償責任保険についてもっと詳しくお伝えしたいのですが、私たちがウェブ誌面上でお伝え出来る情報には限りがあります。
さらに詳細な情報または具体的な御見積りにつきましては、専門のFPから御案内させていただきますので、是非ともお問い合わせくださいませ。<<法人様限定>>