『「たった5日で1,700万件」— サイバー攻撃の現実と、保険の役割』
◆ 日本を代表する大手企業で起きた情報漏えい
2025年4月、損害保険大手の損保ジャパンは、社内のWebサブシステムに対して不正アクセスを受け、最大1,748万件にも及ぶ情報が漏えいまたは外部から閲覧された可能性があると公表しました。今回侵入されたのは、基幹システムとは分離された補助的なシステムで、業務指標の管理などに使われていたものでした。
しかしながら、実際に影響を受けた情報は顧客情報だけでも726万件、代理店情報178万件に及び、事故番号などを含めると約1,700万件超という非常に大きな規模に上ります。この数字が示すのは、「一部のシステムだから大丈夫」という安心感が、もはや通用しない時代にあるということです。
◆ 「基幹システム外」でも油断できない理由
今回攻撃を受けたのは、いわゆる“サブシステム”でした。基幹系ではないため、重大な情報は扱っていないという前提があったのかもしれません。しかし、ネットワークにつながっている以上、すべてのシステムが潜在的な侵入口であり、個人情報が断片的であっても、氏名やメールアドレス、証券番号などが組み合わされば、容易に個人を特定される可能性があります。
また、今回の漏えいには保険代理店や募集人の情報も含まれていたため、同社だけでなく代理店チャネル全体の信頼にまで影響が及ぶリスクがある点も見逃せません。これは、保険業界特有の“委託先リスク”を象徴する事案とも言えるでしょう。
◆ サイバー攻撃にどう備えるべきか
企業がサイバーリスクに備えるためには、多層的な対策が必要です。技術的な観点では、ファイアウォールやEDR(Endpoint Detection and Response)の導入、定期的な脆弱性診断、ゼロトラスト設計などが有効です。組織としても、インシデント対応チーム(CSIRT)の整備や、外部専門業者との平時からの連携体制を構築しておくことが重要です。
さらに見落としがちなのが、人的・契約的なリスク。従業員や代理店への継続的なセキュリティ教育、そして委託先との契約内容の中にセキュリティ基準や監査権を明記しておくことが、トラブル発生時の責任分界とリスク管理に直結します。
◆ それでも攻撃されたときの「最後の砦」— サイバー保険
どれだけ備えていても、100%安全という保証はありません。だからこそ、いざというときの「最後の砦」として、サイバー保険の重要性が増しています。
サイバー保険は、フォレンジック調査や弁護士費用、謝罪対応の広報コンサル、コールセンター設置などの緊急対応にかかるコストをカバーするだけでなく、顧客や取引先からの損害賠償請求への備えにもなります。さらに、システム停止による売上減少などに対応できる特約がある商品も登場しており、単なる「保険金の支払い」にとどまらない機能が注目されています。
また、多くのサイバー保険には、契約者向けの無料セキュリティ診断や模擬訓練などの“事故前サポート”が含まれているため、日常的なセキュリティ水準の向上にも貢献します。
◆ 企業規模にかかわらず、もはや“他人事”ではない
損保ジャパンほどの大企業でさえ、わずか5日間の侵入でここまでの被害を被ったという事実は、多くの企業にとって非常に重たい警鐘となるはずです。中小企業の中には「自分たちは小さいから狙われない」と考えるケースもありますが、むしろ体制が脆弱な企業ほど、攻撃者にとっては格好のターゲットとなります。
「自社には何も盗まれるような情報はない」と思っていても、社員や取引先、顧客の個人情報を扱っている時点で、すでに責任を負う立場にあるのです。
◆ 「技術・体制・保険」の三位一体で守る時代
サイバーリスク対策においては、ひとつの方法に依存するのではなく、技術的防御・組織的対応・そして経済的備え(=保険)を三位一体で講じることが、これからのスタンダードになります。
攻撃は防げないこともあります。しかし、「防げなかったときにどう動くか」で、被害の大きさと信頼回復のスピードは大きく変わります。サイバー保険は、その“もしも”の場面で企業を守る強力なパートナーになり得るのです。
