AIU保険会社のニュースリリースでサイバー攻撃を受けた後に提供するサービスに関するものがありました。
実は、最初にこれを読んだ時は何のことかさっぱり分からず？？？という状態でした。というのも、リリースされたのは保険事故が起こってから提供するサービスの内容だけで、無条件にこのサービスが使えるわけではないことが明らかであるにも関わらず、その条件が書かれていなかったからです。
「サイバー攻撃を受けた際の初期対応を支援するため、株式会社サイバーディフェンス研究所と業務提携契約を締結」
http://www.aiu.co.jp/about_us/press/2012/12_06_22.htm
（AIU保険会社　プレスリリース　2012.6.22）

今回の提携は、サイバー攻撃に対しては専門的な知識と技術を持ったセキュリティの専門家による迅速な初期対応が重要であることから、お客さまが被害に遭われた際には、セキュリティ事故への対応に実績のあるCDIをご紹介し迅速に初期対応を行うことで「ダメージコントロール」を支援し、被害の最小化と速やかな復旧、賠償リスクの軽減を図ることを目的としております。これにより初期対応に要した費用を補償する保険としての機能に加えて、セキュリティ専門機関による初期対応の実効性が確保されることとなります。

　
しかし、その疑問については、先月のニュースリリースを見て氷解しました。この「サイバー攻撃対応費用特約」の現物給付として、今回リリースした内容をやるということのようです。（付帯サービスなのか現物給付なのか微妙です。）
「サイバー攻撃を受けた際の初期対応費用を補償するサイバー攻撃対応費用特約を販売」
http://www.aiu.co.jp/about_us/press/2012/12_05_17.htm
（AIU保険会社　プレスリリース　2012.5.17）

［本特約の特長］
従来の個人情報漏洩保険では、個人情報が漏洩した場合に要した危機管理実行費用や法律上の損害賠償責任が補償の対象でしたが、この特約をセットすることで、情報漏洩が発覚する前のサイバー攻撃を受けた段階から補償を開始し、セキュリティ専門機関による迅速な初期対応をサポートすることにより、情報漏洩、信用失墜、システム停止などの被害を抑え、賠償リスクの軽減を図ります。

　
この２つのニュースリリースを併せて読むとなかなか興味深い内容と言えます。
一般に個人情報漏洩があった場合、その被害の実額−対象者へのお詫びや再発防止のためのシステム改修などを確定させた上で、保険金を支払うのが普通ではないかと思います。
しかし、この保険は、その前の段階−個人情報漏洩の可能性が生じた時点で、個人情報漏洩を起こさせないために発生する費用を補償するものとしています。そして、それは単に金銭的な問題だけでなく、実際の作業は専門家が行わなければ効果がないことから、株式会社サイバーディフェンス研究所と提携して補償することとしています。
「情報漏洩が発生してからかかるコスト(風評による逸失利益を含む)×その発生率」と「情報漏洩を防ぐコスト」のバランスを考えて検討することではあり、「情報漏洩を防ぐコスト」は一般には被保険者が負担するものでしたが、サイバー攻撃を保険事故として限定し、その場合のみにかかる費用を損害額とした保険を作ったということです。そして、それは、「情報漏洩が発生してからかかるコスト(風評による逸失利益を含む)×その発生率」を下げる効果も期待できます。
ただし、サイバー攻撃に限定している点で、すべての個人情報漏洩のリスクに対処できるわけではないことに留意する必要があります。たから、この保険は単品ではなく、特約なのでしょう。
それらも含めて、非常によくできていると思います。
それにしても、2012.6.22のニュースリリースだけではこの意図が分からなかったのは、私がバカだからでしょうか。少なくとも人並みだとは思っていたのですが。
　
余談ですが、AIUは日本社に移行することになりました。チャーティスとしてAIUと富士火災海上保険株式会社が別会社として存続する意味合いが薄れてくれば、この両社はいずれ合併するような気がします。