さまざまな情報が企業活動に接続する時代、リアルなリスクを意識しなければいけない

杉本 ここ数年、サイバー攻撃の被害や雇用トラブルに関する報道が多く取り上げられるようになったと感じます。日本ネットワークセキュリティ協会は、サイバー攻撃による想定被害額として、中小企業でも数千万円、場合によっては数億円の規模になるといった試算(※1)を出しています。また、ハラスメントなどの雇用トラブルについても、社会問題となり、関心が高まっています。朝霧さんは、中小企業経営者の視点から、サイバー攻撃やハラスメントなどの雇用トラブルのリスクをどのように捉えていますか。

コエドブルワリー代表取締役社長・朝霧重治氏

朝霧 サイバー攻撃に関しては、従来は、規模が大きい企業や組織が攻撃のターゲットになるものだと思っていました。しかし、あらゆることがデジタルで繋がり、IoTや EC化が進む中で、我々のような中小企業も自分事として意識する必要があると感じています。私の会社でも、工場の機器がメーカーに直接つながっているほか、ECサイトでエンドユーザーの方に直接販売しているため、多くの個人情報を取り扱っています。それらの情報がヒューマンエラーにより漏えいしてしまうといった万一の事態も想定して対策を行う必要があると感じています。

ハラスメントについても、経営者としてどれほど意識しても部下や社員のメンタルなどに被害を及ぼすことは起こり得るので、経営リスクとして認識していきたいと思っています。

世間的にまだまだ低い「サイバー攻撃」や「雇用トラブルリスク」への認識

杉本 日本損害保険協会が実施した「中小企業のリスク意識・対策実態調査2021」において、事業活動を行っていく上で考えられるリスクとして「サイバーリスク」を挙げた回答者は「自然災害」や「感染症」と比べて約半分でした。「従業員からの損害賠償請求(ハラスメント等)」を挙げた回答者は、さらにその半分程度でした。中小企業の方のリスクに対する認識について、どのように考えますか。

浅井 私が行ったアンケート調査(※2)によると、自然災害や財物損壊など目に見えるリスクについては保険を検討しやすいようで、実際に、中小企業はそのようなリスクに対応する保険には加入している傾向が見られました。一方、サイバー攻撃やハラスメント等による従業員からの損害賠償請求といったリスクは、目に見えないため、誰かに指摘されないと認識しにくいようです。

サイバー攻撃やハラスメントのリスクに関心を持っている企業経営者は、統計的には2割程度ではないかと思います。サイバー攻撃やハラスメントなどは、近年増えてきた経営リスクであるため、実際の被害や保険に加入していてよかったといった事例があまり共有されていないと思われます。被害の発生件数や被害額のデータがあれば、中小企業経営者の方も保険への加入を検討しやすいと思います。

明治大学商学部教授・浅井義裕氏

個人情報の取扱い、従業員への配慮など、積み重ねる企業努力

杉本 朝霧さんの会社では、個人情報を取扱う上でどのような対策をされていますか。また、従業員の皆さんと雇用トラブルに発展しないよう、気を付けていることはありますか。

朝霧 個人情報の取扱いについては、実務担当者でないと取扱いができないようにルールを定めています。ただ、悪意を持った従業員が情報を持ち出すといった報道も度々ありますので、防げないリスクに備えるためにも保険が必要であると認識しています。

雇用トラブルについては、従業員へのアンケートなどを取り入れながら「健康経営」に配慮する取組みに着手しています。

杉本 朝霧さんの場合は、リスクを認識して対策もされていますが、サイバー攻撃やハラスメントのリスク、また、リスクに対応する損害保険についてあまり理解していない経営者の方が多いと思います。これらのリスクに対して、保険ではどのように補償されますか。

4つの機能を備えたサイバー保険、年々増加するハラスメントリスクに対応する雇用慣行賠償責任保険

土屋 サイバー攻撃に備えるための保険である「サイバー保険」は、サイバーセキュリティに関連する事故により企業に生じた第三者に対する損害賠償責任、事故対応に要する費用、自社の休業損害等を包括的に補償します。

サイバー保険には大きく4つの機能があります。

1つ目は、サイバー攻撃等の被害時に企業が取るべき対応に要する費用を補償する機能です。サイバー攻撃等のセキュリティ上のトラブルが発生した場合、初動対応として、トラブルの原因や影響範囲の調査を実施し、被害の拡大防止のための措置を講じることが極めて重要です。お客様の個人情報を漏えいするなどの被害が発生した場合は、被害者へのお詫び状・見舞金の送付やコールセンターの設置といった対外的な謝罪対応も欠かせません。また、データの復旧や再発防止のためのセキュリティ対策強化を図ることも必要です。サイバー保険は、これらの費用を幅広く補償します。

2つ目は、第三者への損害賠償を行うことによる損害を補償する機能です。近年、セキュリティ対策が比較的行き届いていないと言われている中小企業のネットワークや従業員のメールアドレスなどを経由し、その取引先の大企業を狙う「サプライチェーン攻撃」が猛威を振るっています。中小企業のセキュリティの不備が原因で、元請会社、完成品メーカー、フランチャイズ本部などの大企業がサイバー攻撃を受け、その事業を阻害してしまった場合、原因調査や謝罪対応にかかる費用や休業損害について、大企業から中小企業に損害賠償請求が行われるケースも想定されます。サイバーリスクは、被害者であるはずの企業が加害者となってしまうところが怖いところです。

日本損害保険協会(東京海上日動火災保険)・土屋嘉寛氏

3つ目は、システムの誤操作やサイバー攻撃等により、ネットワークを構成するコンピュータやソフトウェア等の機能停止が起きた場合の自社の休業損害や営業継続費用を補償する機能です。

4つ目は、事故の発生前・発生後のサービスを提供する機能です。保険会社によっては、事故の発生を未然に防止するためのリスク診断サービスや、事故発生時に迅速な復旧を行うための専門業者紹介サービスなどを提供しています。保険会社は、これらのサービスの提供に非常に力を入れており、企業のリスクマネジメントを多面的にサポートできるように努めています。

ハラスメントリスクに備える保険としては「雇用慣行賠償責任保険」があります。この保険は、ハラスメント・不当解雇等の侵害行為に起因して、企業や役員等が従業員等から損害賠償請求を受けたことによって被る損害を補償します。企業や役員等が負担する法律上の損害賠償金に加えて、弁護士費用等の争訟費用も補償します。

女性活躍・ハラスメント規制法においてパワハラ防止への取組みが法律上義務化されるなど、企業にとってハラスメントに関連する賠償リスクは高まる傾向にあると考えられます。実際に、厚生労働省が受けつけた労働問題の相談件数は年々増加し、直近では年間100万件を超えるというデータもあります。また、日本損害保険協会が実施したアンケート調査で、「従業員からのハラスメント等の損害賠償請求を受けたことがある」と回答した中小企業の方に、対応に要した金額を聞くと、「500万円~1,000万円」という回答が2割を超える結果となりました。ハラスメント等により損害賠償請求を受けるリスクは、中小企業にとっても他人事ではなく、今後、企業はさらなる対策が求められると考えています。

保険加入にあたり、保険代理店や保険会社による勉強会、数字での費用対効果の提示があると決断しやすい

杉本 サイバー攻撃や雇用トラブルに対応する保険への加入を検討する際にはどのような課題があるでしょうか。

朝霧 保険は、万一の事態への備えとして大切ですが、保険に加入したからといって企業体質そのものが変わるわけではないため、企業の体質自体を変えていく努力も必要であると考えています。その上で、サイバー攻撃や雇用トラブルが企業に与える影響などについて、保険代理店や保険会社の担当者による勉強会が開催されると、経営者も保険への加入を検討しやすくなるのではないでしょうか。その際には、企業の屋台骨を揺るがすようなリスクが発生し得ることについて、被害額など具体的な数字を持って示していただき、保険に加入することの費用対効果を説明いただくと判断しやすいと思います。

私の会社のようなメーカー企業は、生産物賠償責任保険(PL保険)には必ず加入しており、PL保険はもはや取引を行う上での必須条件になっていると言えます。今後はおそらく、サイバー保険についても加入の有無が問われるのではないかと考えています。雇用慣行賠償責任保険については、これまで全く知識がなかったので、今回の座談会を機に勉強してみようと思いました。

(注)飛沫防止パーテーションを使用し、十分な感染対策のもと実施しました。

同業他社から経験談を聞く機会を設け、保険会社の担当者を活用する

杉本 サイバー攻撃や雇用トラブルに対応する保険については、リスクが発生する確率と保険料を見比べて、加入を躊躇っている経営者の方もいると思います。多忙な経営者の方に、自社が抱えるリスクとその対応について検討いただくためには、どのような取組みが必要でしょうか。

浅井 人はリスクを過少に評価したり、ときに過大評価したりする傾向があります。特にサイバー攻撃や雇用トラブルなどは、比較的新しく、目に見えないリスクであるため、過少評価してしまう傾向があります。一方、中小企業経営者を対象に行ったアンケート調査(※3)の結果、2009年から2013年の5年間で損害保険金を受け取ったことがあると回答した企業の割合は33.4%であり、約3割の企業がたった5年間で保険金を受け取るような事故を経験していることに驚きました。

保険代理店や保険会社の方が、実際の事故事例や被害額などのデータを見せながら、保険で備えることの必要性を地道に説明していくことが必要だと思います。同業他社の事故事例を知ることが保険の加入を検討する際の意思決定の大きな要因になっているようなので、同業他社からリスク管理や保険について話を聞く機会を設けるような取組みも必要ではないかと感じます。

また、リスクが発生した場合の被害額や事業の停止期間などをシミュレーションできる仕組みも効果的でしょう。被害額などを数値で示せば、グループ会社や親会社による支援、あるいは銀行からの融資によって復旧できるのか、保険に加入すべきなのかなどを判断できると思います。つまり、保険代理店や保険会社から提供される情報が、企業経営者の意思決定の参考になるのではないかと考えています。

中小企業には、リスクマネジメントを担う人材を育てたり、雇用したりする余裕がないかもしれません。だからこそ、保険代理店や保険会社の方の力を借りることは非常に重要なことだと考えています。

保険会社は、商品に関する情報提供だけでなく、事業活動を行う上でのリスクの周知も行っていきたい

杉本 保険会社としては、企業経営者にどのような情報提供を行っていきたいと考えますか。

土屋 特に中小企業経営者の方は、自社を取り巻くリスクは認識していても、実際にリスクが発生した場合にどのような対応が求められるのか、事業活動にどのくらい影響が及ぶのかといったことまでイメージできず、対策方法も具体的に分からなかったり、自分の会社はそれほど大きな被害を受けないだろうと漠然と考えていたりして、十分な対策を講じていないケースも多いと思われます。企業のリスク対策の強化に向けて、損害保険業界としても、保険商品に関する情報提供だけでなく、事業活動を行う上でどのようなリスクがあるのか、リスクが顕在化した場合に企業にどのような影響が及ぶのかということを、あわせて周知していくことが必要であると考えています。

日本損害保険協会は、昨年12月に、中小企業を取り巻くリスクやリスクに対応する損害保険に関する情報をまとめたサイト「中小企業に必要な保険」を開設しました。サイトの内容をコンパクトにまとめたチラシも作成し、サイトに掲載しています。今後は、関連団体などにも働きかけながら、業界を挙げて取り組んできた啓発活動をさらに展開し、国内企業のリスクや保険に対する理解促進・行動促進につなげていきたいと考えています。

杉本 皆さん、ありがとうございました。企業経営においては、自社の売上を向上させる新規事業・販路拡大といった「攻め」の取組みに注力されるかもしれませんが、それに対応した「守り」の対策についてもしっかりと考えていく必要がありそうです。

座談会動画「今、中小企業にとって必要な損害保険とは<後編>」

「中小企業に必要な保険」特設サイト(一般社団法人 日本損害保険協会)

*上記サイトには、中小企業を取り巻くリスクと、リスクに備える為の保険についてまとめたチラシも掲載しています。
https://www.sonpo.or.jp/sme_insurance/report2021/flyer/risk_report2021.pdf

※記事中資料出典

朝霧重治

あさぎり・しげはる

コエドブルワリー代表取締役社長。かつて地ビールとして展開していた「小江戸ビール」をリブランディングし、クラフトビール「COEDO」として再生。日本国内でクラフトビール市場の立ち上げを牽引した1社。有機栽培青果物の専門商社が祖業であり、現在も継続している。

浅井義裕

あさい・よしひろ

明治大学商学部教授、博士(経済学)。2000年名古屋大学経済学部経済学科卒。06年名古屋大学大学院経済学研究科博士課程修了。城西大学現代政策学部助手、同助教、明治大学商学部専任講師、准教授などを経て、21年4月より現職。

土屋嘉寛

つちや・よしひろ

東京海上日動火災保険株式会社、企業商品業務部部長。賠償責任保険、サイバー保険、休業補償保険などの企業向け損害保険の商品開発に従事。一般社団法人日本損害保険協会で、企業向け損害保険の普及促進事業を所管する新種保険実務検討PTのリーダーを務めている。

杉本崇

すぎもと・たかし

ツギノジダイ編集長。2004年朝日新聞社に記者として入社。事件のほか、医療と科学技術分野を中心に取材を続けてきた。町工場の工場長を父に持ち、ライフワークとして数々の中小企業も取材を続けてきた。