2026年サイバー保険市場:500億ドル突破と構造転換

2026年、グローバルサイバー保険の元受保険料(GWP)は初めて500億ドルを突破した。Munich Reの Cyber Insurance Risks and Trends 2026 レポートは、2025年GWPを約469億ドル、2026年を約510億ドル、2030年には1,200億ドルと予測している。2020-2022年のランサムウェア急増で硬直化したハードマーケットは2024年後半からソフトマーケットに転換し、2026年にはSME向け平均保険料が前年比8-12%下落した。一方で約款はより厳格になった。本稿ではグローバル・韓国・日本の主要12社を実際の約款と共に比較する。

サイバー保険がカバーする5つの保障モジュール

サイバー保険は単一商品ではなく、次の5モジュールの組み合わせである。第1にFirst-party loss(自己損害)としてデータ復旧費用、事業中断(BI)、デジタル資産損害。第2にThird-party liability(賠償責任)として情報漏えい被害者への損害賠償と規制罰金。第3にランサムウェア対応として交渉人費用・復旧費用・暗号資産支払い。第4にBreach Response Services(IR・法務・PR・通知)。第5にサイバー犯罪(BEC、ソーシャルエンジニアリング詐欺、コンピューター詐欺)。2026年の差別化のカギはサイバー犯罪保障とランサムウェア身代金保障、そして付帯サービスとしてのアクティブモニタリング品質である。

Lloyd's 2023 国家支援サイバー免責:市場再定義

2023年3月31日付で、Lloyd's of LondonはMarket Bulletin Y5381に基づき、全てのスタンドアロン型サイバー保険に国家支援サイバー攻撃(state-backed cyber attack)免責条項を義務化した。LMA 5564-5567 シリーズが標準文言である。中核は「主権国家の安全保障・防衛・作戦機能に重大な影響を与えたサイバー作戦」は補償しないこと。2017年NotPetyaでMerckが14億ドルを請求し、Ace American 訴訟やMondelez v Zurichが続いた直後に策定された。2024年Mondelez v Zurichは非公開和解で終結したが、市場へのメッセージは明確だった。

lmm-5564-cyber-war-exclusion.yaml — Lloyd's Market Association 標準約款サマリ

exclusion_name: 'Cyber Operation in the Course of War or Cyber Operation'

clause_id: 'LMA5564'

effective_date: '2023-03-31'

applies_to:

- standalone_cyber_policy

- cyber_endorsement_to_property

core_definitions:

cyber_operation: |

The use of a Computer System by, at the direction of, or under the control

of a State to disrupt, deny, degrade, manipulate or destroy information

in a Computer System of or in another State.

war: |

Use of physical force by a State against another State, whether or not

war has been declared.

trigger_attribution:

- government_attribution_in_affected_state_takes_precedence

- reasonable_inference_from_objective_evidence

- lloyds_specific_attribution_service_acceptable

carve_backs:

- bystander_cyber_operations_below_material_threshold

- non_state_actor_attacks_not_directed_by_state

material_impact_test:

- significant_state_function_impairment

- critical_national_infrastructure_compromise

実務的な影響は2つ。第1にattribution(攻撃者帰属)が保障の可否を決めるため、政府機関(NCSC、CISA)の公式アトリビューションが紛争の核心証拠になる。第2にNotPetya、WannaCry、Mondelez型の事案を2026年約款で見直すと大半が免責対象になる。保険会社はこの免責を梃子に価格を再度安定化させた。

Chubb Cyber Enterprise Risk Management:首位の武器

Chubbは2026年のグローバルサイバー保険市場シェア約13%で首位。主力はCyber Enterprise Risk Management(Cyber ERM)で、中小企業向けにDigiTech ERMがある。差別化要因は(1)Google CloudのMandiant買収以前から保有していた自社IRパネル、(2)Risk Engineering Servicesによる無料のプレバインドセキュリティ評価、(3)ブランド価値毀損まで補償するReputational Harm Loss、の3点。弱点は保険料が市場平均より15-20%高いこと。2024年Change Healthcare事案でUnitedHealth Groupの請求を最も迅速に処理し、市場の信頼を回復した。

Chubb Cyber ERM 2026 標準保障構造(米国基準)

Coverage Module Default Limit Sub-limit Caveats

--------------------------------- ------------------ ----------------------------

1st-party Data Recovery Full Policy Limit Hardware bricking excluded

Business Interruption (income) Full Policy Limit 72hr waiting period

Contingent BI (vendor outage) $5M sublimit Named vendors only

Cyber Extortion / Ransomware 80% of Policy OFAC compliance required

Reputational Harm Loss $2M sublimit 12mo measurement window

Bricking (hardware replacement) $1M sublimit Diagnostic report required

Funds Transfer Fraud (BEC) $250K sublimit Voice verification waiver

3rd-party Privacy Liability Full Policy Limit GDPR fines via insurable jx

3rd-party Network Security Full Policy Limit War exclusion LMA5564

Regulatory Defense & Penalties $1M sublimit Where insurable by law

PCI-DSS Assessments / Fines Full Policy Limit Compromise must trigger

Media Liability $1M sublimit Owned media only

AIG CyberEdge:グローバルディストリビューションとPROACTIVEサービス

AIGのCyberEdgeは1999年スタートのサイバー保険の元祖格。2026年のグローバル市場シェアは約8%でChubbに次ぐ2位、多国籍企業向けグローバル・マスターポリシー処理に強い。CyberEdgeは(1)eRiskHubポータルで加入者にIRプレイブック・ポリシーテンプレート・教育コンテンツを提供、(2)PROACTIVE付帯サービスとしてダークウェブモニタリングとフィッシングシミュレーションを無料提供、(3)Cyber-One単一ポリシーで1st/3rd party統合。弱みはラージアカウント中心でSME価格はCoalitionなど新興MGAより高い。2024年AIGはサイバー事業の一部をStone Point CapitalとCinvenの合弁経由でTalbot Underwritingに分社化し、市場はサイバーリスクの抑制意図と受け止めた。

Beazley Cyber:Breach Responseの元祖

BeazleyはLloyd'sシンジケート出自のサイバー保険専業会社で、2026年米国SME-中堅市場シェア約10%。決定的な差別化は2009年に立ち上げたBeazley Breach Response(BBR)。BBRは(1)Beazley自社のブリーチマネージャが事案を統括、(2)事前交渉済みIRパートナー(Mandiant、CrowdStrike、Coveware)を自動招集、(3)通知費用は限度額外(outside limit)で別途保障、(4)7,000件超の実事案データに基づくプレイブック、で構成される。2023-2025年Beazleyのサイバー損害率(loss ratio)は55-65%と市場平均を下回り、価格競争力を維持できる土台になっている。

beazley_bbr_response_workflow.py — BBR 事故対応フロー擬似コード

from datetime import datetime, timedelta

class BBRIncidentResponse:

"""Beazley Breach Response 標準対応プレイブック (2026 v7)。"""

SLA_FIRST_CONTACT_HOURS = 1

SLA_IR_VENDOR_ONSITE_HOURS = 4

SLA_COUNSEL_ENGAGEMENT_HOURS = 2

def __init__(self, policy):

self.policy = policy

self.timeline = []

self.vendor_panel = {

'forensics': ['Mandiant', 'CrowdStrike', 'Kroll'],

'counsel': ['Mullen Coughlin', 'BakerHostetler', 'Lewis Brisbois'],

'pr': ['Edelman', 'Sard Verbinnen'],

'ransomware_negotiator': ['Coveware', 'GroupSense'],

}

def notify(self, incident_type, detected_at):

self.timeline.append(('insured_notice', datetime.utcnow()))

SLA: 1時間以内に Beazley breach manager を割当

bm = self.assign_breach_manager(incident_type)

SLA: 2時間以内に外部法務カウンセル engaged

counsel = self.engage_counsel(incident_type)

SLA: 4時間以内に forensic vendor onsite

forensics = self.dispatch_forensics(incident_type)

return {

'breach_manager': bm,

'counsel': counsel,

'forensics': forensics,

'sla_clock_started_at': detected_at,

'first_response_deadline': detected_at + timedelta(hours=1),

}

def assign_breach_manager(self, incident_type):

事故種別ごとの専任BM割当 — ransomware/BEC/data exfil/insider

return f'BM_{incident_type}_{hash(incident_type) % 50}'

Coalition:Active Insurance というパラダイム

Coalitionは2017年にサンフランシスコでJoshua Motta(元CIA・Goldman)とJohn Hering(元Lookout)が創業したサイバーMGA(Managing General Agent)。2024年シリーズFで35億ドル評価額を獲得し、2026年米国SMEサイバー保険の単一チャネルシェアは約11%で首位。コアは「Active Insurance」パラダイムだ。加入者の外部アタックサーフェスを24/7監視し、既知脆弱性や露出資産を発見すると(1)加入者へ無料通知、(2)Coalition Incident Response(CIR)チームによる遠隔リメディエーション提案、(3)プレ/ポストバインドのゼロデイ評価を無料提供する。弱点はキャパシティが限られ、ハードリミット超のエンタープライズ契約は難しいこと。

coalition_rating_engine.py — Active Insurance 価格決定擬似コード

2026年 Coalition Risk Platform を再構成

def coalition_premium_quote(applicant):

"""

Coalition のアクティブレーティングは静的アンケートではなく

リアルタイム外部スキャン結果を直接価格に反映する。

"""

base_rate = applicant.revenue * 0.0008 # 0.08% of revenue

multiplier = 1.0

scan = run_external_scan(applicant.domains, applicant.ip_ranges)

1. Email security (DMARC + SPF + DKIM)

if not scan.dmarc_quarantine_or_reject:

multiplier *= 1.35

if scan.spf_softfail_only:

multiplier *= 1.10

2. MFA — Coalition は RDP/VPN/admin MFA を別検証

if scan.exposed_rdp_without_mfa:

multiplier *= 1.75 # ほぼ謝絶水準

if not scan.mfa_on_o365_admin:

multiplier *= 1.40

3. EDR — CrowdStrike/SentinelOne/MS Defender for Endpoint

if applicant.attested_edr in {'crowdstrike', 'sentinelone', 'mde-p2'}:

multiplier *= 0.85

4. Backup — オフサイト + immutable

if applicant.backup_immutable and applicant.backup_offsite:

multiplier *= 0.90

5. CVE exposure — KEV カタログ照合

kev_hits = scan.cve_matches_against_cisa_kev()

multiplier *= (1.0 + min(kev_hits * 0.05, 0.50))

6. Industry — healthcare/finance は基礎係数が高い

industry_loads = {'healthcare': 1.20, 'finance': 1.15, 'manufacturing': 1.05}

multiplier *= industry_loads.get(applicant.industry, 1.0)

return round(base_rate * multiplier, 2)

Resilience Cyber:Cyber Risk Quantification 優先

Resilienceは2016年創業、2022年シリーズDで16億ドル評価額を得たMGA。差別化はサイバーリスク定量化(CRQ)を保険と統合した点。加入者にFAIR(Factor Analysis of Information Risk)モデルベースの定量的リスク評価を提供し、「この統制を導入すれば保険料がいくら下がり、ALE(年間予想損失)がどれだけ減るか」をダッシュボードで可視化する。2024年ResilienceはLloyd'sシンジケート4747を買収し自社ペーパー能力を獲得した。弱点はエンタープライズ市場への浸透が遅いこと。

AXA XL Cyber:欧州の強者がグローバル化

AXA XLは2018年AXAがXL Catlinを買収して誕生したスペシャルティ会社。2026年欧州サイバー保険市場シェア約14%で首位、EU GDPR関連のコンプライアンス助言に強みを持つ。AXA XL Cyberは欧州データ保護当局(CNIL、BfDI、ICO)対応のパネル弁護士ネットワークが最も厚い。難点は2022年9月にフランスでランサムウェア支払い保障を自主停止し、後に再開した一件で市場の信頼に微妙な傷を残したこと。2024年AXA XLはNIS2指令(EUサイバーセキュリティ指令)施行を控え、エンタープライズ顧客向けにNIS2ギャップ分析を無料提供開始した。

Hiscox Cyber:SME特化、迅速見積もり

Hiscoxは1901年Lloyd's発祥のスペシャルティ保険会社。2026年グローバルSMEサイバー保険シェア約6%。Hiscox CyberClearは(1)5分オンライン見積もり、(2)売上1億ドル未満企業特化、(3)Lloyd'sシンジケート33経由のペーパー能力。弱みはラージアカウント対応が薄く、Mondelez件以降は集積リスクに慎重。

Tokio Marine HCC:日本本社・米国運営のハイブリッド

Tokio Marine HCCは2015年に東京海上が米国ヒューストン本社のHCCを75億ドルで買収して誕生したスペシャルティ会社。2026年サイバー事業部は米国・ロンドン・東京に拠点を持ち、日本企業の米国進出に伴うサイバーカバー処理に強い。日本本社のリスクエンジニアリング資料が日英二言語で同時提供される点が差別化要因。

韓国サイバー保険 1:サムスン火災 Cyber Solution Plus

サムスン火災は2017年にサイバー総合保険を出し、2026年韓国サイバー保険市場シェアは約28%で首位。Cyber Solution Plusは(1)個人情報漏えい賠償、(2)事故対応費用(KISA推奨IR業者パネル)、(3)事業中断損害、(4)サイバー犯罪、(5)評判毀損損害をモジュール提供する。2023年LG U+の個人情報流出(約30万件)以降、韓国市場は急成長し、2024年Kakaoの大規模障害でSaaS依存リスクが浮き彫りになった。米国と異なり韓国ではランサムウェア支払い自体が外国為替取引法と特定金融取引法(特金法)により事実上不可能で、サムスン火災約款も「北朝鮮・テロ団体指定資産への支払いは免責」と明記する。

samsung-fire-cyber-solution-plus-2026.yaml — 約款サマリ

保険会社: サムスン火災海上保険

商品名: Cyber Solution Plus

限度額_KRW:

総保障最大: 5_000_000_000

個人情報漏えい賠償: full_policy_limit

IR_事故対応費用: 500_000_000

事業中断損害: 2_000_000_000

ランサムウェア交渉費用: 200_000_000

身代金支払い: 不担保 # 外国為替法・特金法と抵触

PR_評判毀損: 100_000_000

主要免責:

- 国家支援サイバー攻撃: LMA5564準用

- PIPA故意違反罰金

- 無許可暗号資産取引

- OFAC・UN制裁対象支払い

加入要件:

- ISMSまたはISMS_P認証

- 定期脆弱性診断_年2回

- バックアップ_3_2_1運用

含まれるサービス:

- KISA事故申告支援

- 侵害事故対応チームパネル: ['Igloo Corporation', 'SK Shieldus', 'AhnLab']

韓国サイバー保険 2:現代海上サイバー総合保険

現代海上は韓国サイバー保険市場シェア約22%で2位。強みは(1)業種別約款(病院、教育、公共機関)、(2)PIPA(個人情報保護法)罰金免責範囲の明示、(3)クラウド事故補償(AWS・GCP・Azureダウンタイムcontingent BI)。2024年の韓国PIPA改正により課徴金が売上の3%まで引き上げられ、現代海上は「関係法令により保険補償が禁止された行政処分は免責」と明記する。よってPIPA課徴金自体は韓国法上保険補償が制限されるが、事故対応費用・民事賠償は補償される。

韓国サイバー保険 3:KB損保サイバー総合保険

KB損保は韓国サイバー保険市場シェア約15%で3位。差別化要因は(1)金融業界顧客向け特化約款(電子金融事故同時保障)、(2)仮想資産事業者(VASP)専用モジュール、(3)カカオバンク・トスのようなフィンテック向けサイバー犯罪限度額の引き上げ。2024年KBは仮想資産事業者法施行に合わせ、取引所・カストディ向けに最大200億ウォンのサイバー犯罪限度モジュールを発売した。

日本サイバー保険 1:東京海上日動 サイバーリスク保険

東京海上日動火災保険は日本サイバー保険市場シェア約33%で首位。日本市場は米欧と比べてサイバー保険浸透率が低かったが、2024年のNISC(内閣サイバーセキュリティセンター)ガイドライン改定と改正個人情報保護法施行により急成長した。東京海上のサイバー保険は(1)日本語24/7事故対応デスク、(2)JPCERT/CC連携の侵害対応パネル、(3)日本のPPC(個人情報保護委員会)届出費用補償、(4)行政文書管理ガイドライン対応アドバイザリーを含む。

日本サイバー保険 2:損保ジャパン Cyber Insurance

損害保険ジャパンは日本サイバー保険市場シェア約26%で2位。強みは(1)SOMPO Holdings傘下のPalantir合弁分析による事故パターンデータ、(2)中小企業特化パッケージ、(3)サイバーBCP策定アドバイザリー。2024年損保ジャパンはトヨタ自動車部品サプライチェーン事故を契機に、contingent BI(サプライチェーン事故)保障を拡大した。

NIST CSFとMITRE ATT&CKに基づくアンダーライティング

2026年のサイバー保険アンダーライティングは自己申告型アンケートから検証可能なフレームワーク適用へ移行している。標準は2つ。NIST CSF 2.0(2024年2月改定、Govern 関数を追加)とMITRE ATT&CK Enterprise v15だ。Coalition・Resilienceは加入時点でNIST CSFセルフアセスメントを要求し、MarshのCyber Risk IndexもCSF 5+1関数ベースのスコアリングを使用する。

nist-csf-2-self-assessment-template.yaml

NIST CSF 2.0 (Feb 2024) — Govern 関数を追加

保険加入前セルフアセスメントテンプレート

organization: ACME Corp

assessment_date: 2026-05-25

csf_version: '2.0'

govern:

GV.OC: 'Tier 3' # Organizational Context

GV.RM: 'Tier 3' # Risk Management Strategy

GV.RR: 'Tier 2' # Roles, Responsibilities, Authorities

GV.PO: 'Tier 3' # Policy

GV.OV: 'Tier 2' # Oversight

GV.SC: 'Tier 2' # Supply Chain Risk Management

identify:

ID.AM: 'Tier 3' # Asset Management

ID.RA: 'Tier 2' # Risk Assessment

ID.IM: 'Tier 2' # Improvement

protect:

PR.AA: 'Tier 4' # Identity Management, Authentication

PR.AT: 'Tier 3' # Awareness and Training

PR.DS: 'Tier 3' # Data Security

PR.PS: 'Tier 3' # Platform Security

PR.IR: 'Tier 3' # Technology Infrastructure Resilience

detect:

DE.CM: 'Tier 3' # Continuous Monitoring

DE.AE: 'Tier 3' # Adverse Event Analysis

respond:

RS.MA: 'Tier 3' # Incident Management

RS.AN: 'Tier 3' # Incident Analysis

RS.CO: 'Tier 3' # Incident Response Reporting and Communication

RS.MI: 'Tier 2' # Incident Mitigation

recover:

RC.RP: 'Tier 3' # Incident Recovery Plan Execution

RC.CO: 'Tier 2' # Incident Recovery Communication

overall_target_profile: 'Tier 3 across all functions by 2027-Q1'

MITRE ATT&CK ベースのリスクスコアリングは次のように動く。保険会社は加入者環境に対する攻撃テクニックの露出度を評価し、最も多用されるランサムウェアアクターのTTPをマッピングする。

mitre_attack_risk_scoring.py — 保険会社サイド評価擬似コード

ATTACK_TECHNIQUES = {

'T1566': {'name': 'Phishing', 'tactic': 'Initial Access', 'freq': 0.95},

'T1078': {'name': 'Valid Accounts', 'tactic': 'Initial Access', 'freq': 0.78},

'T1190': {'name': 'Exploit Public-Facing App', 'tactic': 'Initial Access', 'freq': 0.62},

'T1486': {'name': 'Data Encrypted for Impact', 'tactic': 'Impact', 'freq': 0.71},

'T1567': {'name': 'Exfiltration to Cloud Storage', 'tactic': 'Exfiltration', 'freq': 0.55},

'T1110': {'name': 'Brute Force', 'tactic': 'Credential Access', 'freq': 0.48},

}

DEFENSIVE_CONTROLS = {

'T1566': ['email_dmarc', 'awareness_training', 'sandbox', 'safe_links'],

'T1078': ['mfa_admin', 'mfa_remote', 'privileged_session_recording'],

'T1190': ['waf', 'rasp', 'public_asset_scan', 'patch_sla_critical_7d'],

'T1486': ['immutable_backup', 'edr_ransomware_canary', 'segmentation'],

'T1567': ['dlp_egress', 'cloud_proxy', 'data_classification'],

'T1110': ['account_lockout', 'mfa_remote', 'password_spraying_detection'],

}

def compute_attack_risk_score(applicant_controls):

score = 0.0

for tid, meta in ATTACK_TECHNIQUES.items():

needed = set(DEFENSIVE_CONTROLS[tid])

covered = needed & set(applicant_controls)

coverage = len(covered) / len(needed) if needed else 0.0

residual = meta['freq'] * (1 - coverage)

score += residual

正規化 — 低いほど良好(0 best, 6 worst)

return round(score, 3)

Ransomware Coverage:身代金保障の可否

2026年ランサムウェア市場の核心的分岐点は、保険会社が身代金支払い自体を補償するか否かだ。AXAは2022年フランスで自主停止後に再開、米NYDFSは2024年に全保険会社にOFACコンプライアンスを義務化した。韓国は外国為替法・特金法によって身代金支払い自体が事実上不可能。日本もNISCガイドラインが身代金支払いを非推奨とする。グローバルなトレンドは「支払いは保障するがOFAC制裁対象は免責、代わりに交渉費用・復旧費用・通知費用を厚く保障」である。

グローバル主要保険会社 ransomware 支払い保障マトリックス (2026)

Insurer Ransom Payment OFAC Check Negotiator Panel IR Cost Notes

------------------- --------------- ---------- ----------------- -------- --------------------------

Chubb Up to 80% Mandatory Mandiant, Coveware Sublim OFAC waiver pre-auth

AIG CyberEdge Up to 75% Mandatory Kroll, GroupSense Sublim Cyber-One single policy

Beazley BBR Up to 100% Mandatory Coveware, Arete Outside 24/7 BM assigned

Coalition Up to 100% Mandatory Coalition CIR Outside Active monitoring

Resilience Up to 100% Mandatory Arete, Kivu Outside FAIR-based pricing

AXA XL Up to 80% Mandatory Mandiant, Kroll Sublim NIS2 advisory included

Hiscox Up to 70% Mandatory Coveware Sublim SME focus

Tokio Marine HCC Up to 80% Mandatory Kroll, S-RM Sublim JP/US dual desk

サムスン火災 不担保 N/A Igloo/AhnLab 含む 特金法と抵触

現代海上 不担保 N/A SK Shieldus 含む 外国為替法と抵触

KB損保 不担保 N/A Igloo/AhnLab 含む VASPモジュール別途

東京海上日動 不担保 N/A JPCERT/CC 連携 含む NISCガイドライン準拠

損保ジャパン 不担保 N/A SOMPOパネル 含む 中小企業特化

BIPA・GDPR・PIPAの規制罰金カバレッジギャップ

規制罰金はサイバー保険のグレーゾーンだ。Illinois Biometric Information Privacy Act(BIPA)は違反1件あたり1,000-5,000ドルの法定損害賠償を課す。2022年White Castle Inc v Cothron事件でイリノイ州最高裁は「指紋スキャンごとに別個の違反」と解釈し、ある企業が170億ドルの請求を受けた。BIPAは法定損害賠償のため一部約款で保障されるが故意違反は免責。GDPRは売上の4%まで罰金可能で、ルクセンブルク・アイルランド・ドイツなど一部EU国はGDPR罰金の保険補償自体を違法化した。韓国PIPA課徴金は韓国法上保険補償が制限される。サイバー保険加入時に必ず確認すべき条項だ。

プレバインドチェックリスト:2026 標準

2026年の保険加入アンダーライティング統制ベースラインは次の通り。第1にMFA — admin・RDP・VPN・O365/Google Workspaceでフィッシング耐性MFA(WebAuthn/FIDO2推奨)。第2にEDR — CrowdStrike Falcon、SentinelOne Singularity、Microsoft Defender for Endpoint P2以上。第3にバックアップ — 3-2-1 + immutable、月次リストア訓練の証跡。第4にPAM — Privileged Access Management(CyberArk、Delinea、BeyondTrust)。第5にパッチ — KEVカタログ照合で72時間SLA。第6にawareness — 年次フィッシングシミュレーションのクリック率5%未満。第7にIRプラン — 年1回のテーブルトップ訓練の証跡。この7つを満たさない場合は加入謝絶もしくは保険料50%以上の加算となる。

アクティブモニタリング付帯サービス:差別化要因

2026年のサイバー保険は単なる事後補償ではなく、能動的リスク削減プラットフォームである。Coalition Control、Resilience platform、BitSight・SecurityScorecard 連携保険会社は24/7外部アタックサーフェススキャン、ダークウェブクレデンシャルモニタリング、ドメイン・サブドメインテイクオーバー検知、KEV/CVEアラートを無料提供する。加入者が24時間以内に対応しない場合、一部約款はサブリミットを50%に縮小する条項を持つ。

クレームプロセス実務タイムライン

標準的なサイバー請求タイムラインは次の通り。T+0時間:事故検知・社内決定。T+1時間:保険会社24/7ホットライン通知(SLA 1時間以内応答)。T+2時間:外部法務カウンセル engaged(プリビレッジ確保)。T+4時間:forensic vendor がオンサイトもしくは遠隔接続。T+24時間:初期アトリビューション・範囲特定。T+72時間:規制当局への通知判断(GDPRは72時間SLA)。T+30日:BI計測開始。T+60日:初回インボイス提出。T+90日:保険会社一次カバー判定。T+180日:最終クォンタム交渉。事故対応費用は限度額外(outside limit)が標準、1st party loss(BIなど)は限度額内(within limit)。

保険会社評価:損害率とサイバー資本

保険会社選択時に見るべき指標は2つ:サイバー固有の損害率(loss ratio)とサブライン資本だ。2024年のグローバルサイバー損害率は平均約43%で、2021年の80%台より大幅に安定した。Chubb約41%、Beazley約58%、Travelers約47%、AXA XL約51%、Coalition約62%(MGA特性として高め)、Resilience約56%。損害率が低ければ無条件で良いわけではなく、低すぎる場合は約款が厳格で請求が支払われにくいシグナルでもある。Marsh、Aon、Lockton等のブローカーが持つ実支払いデータと併せて見るべきだ。

結論:2026年サイバー保険選定ガイド

規模と業種別に妥当なデフォルトは次の通り。(1) グローバルエンタープライズ:Chubb + AIG/AXA XL二重保障。(2) 米国SME:CoalitionまたはResilience(active サービスが決め手)。(3) 欧州中堅市場:AXA XLまたはBeazley(GDPR・NIS2助言)。(4) 韓国企業:サムスン火災または現代海上(KISAパネル)。(5) 日本企業:東京海上日動または損保ジャパン(NISCコンプライアンス)。いずれのケースでも(a) Lloyd's LMA5564 war exclusion 文言、(b) ランサムウェア支払い保障の有無、(c) 規制罰金免責、(d) BI待機期間、(e) サブリミット構造を直接精査する必要がある。2026年のサイバー保険はもはやIT部門単独ではなく、CFO・CRO・CISO・法務が共同で決める資本配分の一部である。

References

- Lloyd's of London Market Bulletin Y5381 — Cyber War Exclusion: https://www.lloyds.com/resources-and-services/market-communications/market-bulletins

- LMA5564-5567 Cyber War/Operation Exclusion Wording: https://www.lmalloyds.com/lma/wordings

- NAIC Cyber Insurance Working Group: https://content.naic.org/cmte_ex_cybersecurity_wg.htm

- Munich Re — Cyber Insurance Risks and Trends 2026: https://www.munichre.com/topics-online/en/digitalisation/cyber.html

- Swiss Re Institute Cyber sigma report: https://www.swissre.com/institute/research/sigma-research.html

- NIST Cybersecurity Framework 2.0: https://www.nist.gov/cyberframework

- MITRE ATT&CK Enterprise v15: https://attack.mitre.org/

- CISA Known Exploited Vulnerabilities Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog

- Chubb Cyber Enterprise Risk Management: https://www.chubb.com/us-en/business-insurance/cyber-enterprise-risk-management.html

- AIG CyberEdge: https://www.aig.com/business/insurance/cyber-insurance

- Beazley Breach Response: https://www.beazley.com/en-US/products/cyber-services-snapshot

- Coalition Active Insurance: https://www.coalitioninc.com/insurance

- Resilience Cyber: https://www.cyberresilience.com/

- AXA XL Cyber Insurance: https://axaxl.com/insurance/products/cyber-and-technology

- Hiscox CyberClear: https://www.hiscoxgroup.com/cyber

- Tokio Marine HCC Cyber: https://www.tmhcc.com/en/products/cyber-and-professional-lines

- サムスン火災 Cyber Solution Plus: https://www.samsungfire.com/

- 現代海上 サイバー総合保険: https://www.hi.co.kr/

- KB損保 サイバー総合保険: https://www.kbinsure.co.kr/

- 東京海上日動 サイバーリスク保険: https://www.tokiomarine-nichido.co.jp/

- 損害保険ジャパン サイバー保険: https://www.sompo-japan.co.jp/

- 韓国 KISA 侵害事故申告センター: https://www.krcert.or.kr/

- 日本 NISC サイバーガイドライン: https://www.nisc.go.jp/

- JPCERT/CC: https://www.jpcert.or.jp/

- 個人情報保護委員会(PPC) 日本: https://www.ppc.go.jp/

- 韓国個人情報保護委員会: https://www.pipc.go.kr/

- BIPA(Illinois Biometric Information Privacy Act): https://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=3004

- White Castle Inc v Cothron イリノイ州最高裁判決: https://www.illinoiscourts.gov/

- Mondelez v Zurich(NotPetya)事案背景: https://www.law360.com/cybersecurity-privacy

- Mandiant M-Trends 2025 レポート: https://www.mandiant.com/m-trends