サイバー攻撃が増加する中、企業とサイバー攻撃保険提供者との間の紛争も激化しています。よくある争点には、損失がどの程度まで補償されるのか、何がデータの不正使用とみなされるのか、誰が侵害に対する責任をとるのか、企業がサイバーセキュリティ義務を十分に果たしていたか、が含まれます。
サイバー攻撃による損失を補償する保険を手配する際には、企業が自社の保険契約の補償内容を正確に理解し、重大な攻撃が発生した場合の損失の潜在的な範囲を明確に把握することが不可欠です。
最近のサイバー攻撃事例
最近のJaguar Land RoverおよびMarks & Spencer(M&S)に対する大規模攻撃は、その規模だけでなく、十分なサイバー攻撃保険がなかった点でも注目されました。Jaguar Land Roverは保険に加入しておらず、M&Sは損失を補償するには到底不十分な保険契約しかありませんでした。企業は、サイバー攻撃による直接的な損害や顧客からの苦情申し立てだけでなく、完全な業務再開までに要する期間も考慮する必要があります。
裁判所に持ち込まれる保険補償に関する事例の多くは、データ保護や守秘義務違反に関連しています。
Warren v DSG Retail Ltd [2021]では、小売業者Dixons Carphoneに対して£5,000の請求が提起されました。Dixonsは2018年にサイバー攻撃を受け、約1,400万件のデータに不正にアクセスされた可能性があります。原告は、自身の氏名、住所、電話番号、生年月日、メールアドレスに不正にアクセスされた可能性があると主張し、1998年データ保護法違反、個人情報の不正使用、守秘義務違反、過失を理由に請求しました。
裁判所はこの請求を棄却し、個人データの管理の喪失は、原告の請求が成立するために必要な「財産的損害」の要件を満たさないと判断しました。
より最近では、Farley & Ors v Paymaster (1836) Ltd (trading as Equiniti) [2025]の事例で、元警察官のグループが、個人情報の不正使用および英国一般データ保護規則違反に基づき損害賠償を請求しました。被告は、元警察官らの年金給付明細を、元警察官らの古い住所に送付していました。裁判所は、元警察官ら以外の第三者が、彼らの年金給付明細を実際に閲覧した証拠がないため、請求は成立しないと判断しました。
しかし、控訴院はこの判断を退けました。控訴院は、個人データ侵害の結果に対する恐怖から生じる精神的苦痛に対する損害賠償請求は、第三者がデータにアクセスしたことの証明がなくても成立すると判示しました。また、原告が証明すべき「深刻さの閾値」は存在しないものの、請求は客観的に十分な根拠が必要であり、仮定的であってはならないとの考えも示しました。
サイバー攻撃保険によるリスクカバーに関するガイダンス
企業はサイバー攻撃のリスクを極めて深刻に受け止める必要があります。十分な保険補償を確保し、保険契約の条件を遵守していることを確認しなければなりません。専門家を起用して契約条件を確認し、期待する補償が提供されることを確保することが重要です。
主な検討事項:
- 保険でカバーすべきリスクの特定(例:従業員による故意の行為)
- 現実的に必要な補償レベルの設定、以下を考慮:
- データ復旧費用、法的費用、営業損失、身代金要求(ランサムウェア)などの潜在的損失
- 契約違反、守秘義務違反、データ保護規則違反、当局による制裁金を含む第三者からの請求
- 保険契約の条件遵守(厳格なサイバーセキュリティ手順と定期的なレビュー、スタッフ研修、ソフトウェア更新が必要となる可能性が高い)
サイバー保険会社と保険契約者間の潜在的な紛争領域
サイバー攻撃保険に関する請求者と保険提供者の間でよくある争点には以下が含まれます:
- 事案がサイバー攻撃によるものか、従業員の過失や故意の不正行為を含む内部問題に起因するものか
- 保険契約条件の不遵守(例:請求者がサイバーセキュリティ義務を果たしていない)
- 過去の事案の開示漏れ
- 第三者が関与する場合の損失の発生原因に関する意見の相違
- 攻撃が外国政府によるものか(通常は補償対象外)
- 損失の範囲や請求額に関する紛争
3CSにできること
3CSの紛争解決専門弁護士は、サイバー攻撃保険請求に関する紛争の解決に向けて、戦略的かつ効果的な支援を提供します。サポートが必要な場合は、弊所または担当者までお気軽にお問合せください。
