お知らせ
【識者の眼】「攻撃被害の復旧コストとサイバーリスク保険」江原悠介
「サイバー攻撃を受けた医療機関は、被害からの復旧にどの程度のコストが必要になるのか」との質問をよく受ける。今回はその回答例を示したいと思う。
医療機関が実際にサイバー攻撃被害を受けた場合、システム等のリカバリー費用のみでなく、攻撃経路の特定等のためのフォレンジック作業等、[費用損害]に伴う直接コストがまずは必要となる。ただ、これは復旧コスト全体の一部でしかない。サイバー攻撃の被害が患者個人、他組織等に影響を及ぼした場合の[賠償損害]コスト、システム停止に伴う逸失利益に関する[利益損害]、ランサムウェア感染による身代金支払い等で要した[金銭損害]、個人情報保護法が定める刑事/民事上の罰金に係る[行政損害]、風評被害等に伴う[無形損害]など、様々な損害に係る対応もケースバイケースで個々に検討し、支出していく必要がある。そのため、一概に「こうした被害の場合は、×××円の費用が必要」等の教科書的な結論を導くことは難しい。
なお、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が2023年10月に公開している「サイバー攻撃被害組織のアンケート調査(速報版)について」では、大まかなサイバー被害対応コストの試算結果が示されており、参考になる。
たとえば、ランサムウェア感染被害の場合は2300万円程度、エモテットによる情報漏洩被害の場合には1000万円近くが平均で必要─と示されている。ただし、これらの結果は医療機関に限定したものではない。そのため、仮に医療機関で、ランサムウェアによる医事会計システムも含めた利用停止が発生した場合、報酬請求ができなくなる関係上、より大きな負債をランニングコストの中で抱えることになると言える。
では、こうした問題にはどう対処すべきか。選択肢の1つがサイバーリスク保険である。22年の四病院団体協議会向けの医療ISACによるセキュリティ調査では、サイバーリスク保険加入済みの医療機関は全体の6%ほどであった。しかし、セキュリティ対策への投資が難しい中、サイバー被害に遭遇した医療機関にとって、上記の各種損害に係る対応コストを金銭的にカバーしてくれるという意味で、サイバーリスク保険は「転ばぬ先の杖」としては検討に値する価値を有している。
日本国内のサイバー保険商品は[費用損害][賠償損害][利益損害]の補償は主に行うが、それ以外の損害範囲はカバーしない傾向が強い。しかしながら、ランサムウェア被害により営業停止状態に追い込まれた場合でも、[利益損害]も含め、一般的に、どの損保会社でもおおむね補償額が1億〜4億円程度であれば数万〜数十万円、10億円以上の補償額が発生しても数百万円程度の年単位コストで済むことが多い。そのため、サイバーリスクに対して、常態化している「いざというとき」を考えた場合、こうした選択肢を真摯に検討することも、患者への対応責任という意味では大事である。
江原悠介(一般社団法人医療ISACステアリングコミッティ運営委員)[費用損害][賠償損害][利益損害]
