コラム / セキュリティ /
中小企業のサイバー保険は「補償より付帯サービス」で選ぶ ─ 国内主要5社の実態と免責の落とし穴
📖 約11分 / 公開日: 2026/05/31
サイバー保険の問い合わせは、ランサムウェア被害が出てから走り出すケースが圧倒的に多いです。すでに止まっているサーバを前に「保険、入っていなかった」と言う経営者を、この半年だけで7社見ています。
中小企業の経営者から「うちにサイバー保険って必要ですか」と聞かれた場合、答えは決まっています。年商3億以上、顧客の個人情報を扱う、もしくは取引先からのセキュリティ質問書に答える機会がある会社なら、加入を強く推奨します。逆に従業員5名以下のサービス業で個人情報を最小限しか扱わないのであれば、その予算はMFA強制化やEDR導入に回す方がよほど効きます。
理由はシンプルで、保険金そのものより「事故が起きた瞬間に動いてくれる窓口」の有無が、損害額の桁を変えるからです。
## 保険金より付帯サービスを見る
国内で中小企業向けサイバー保険を実質的に売っている主要な会社は、東京海上日動、AIG、Chubb、損保ジャパン、三井住友海上の5社です。年商10億・従業員50名規模の見積もりで、年間保険料はおおむね15万円から80万円のレンジに収まります。補償限度額は5,000万円から3億円程度が一般的です。
ここで注意したいのが、補償限度額の数字に引きずられないことです。中小企業のインシデントで「3億円の損害賠償」まで至るケースは現実には少なく、多くは「初動対応のフォレンジック費用と通知費用で500万〜2,000万円」「業務停止による逸失利益で数百万〜数千万円」というレンジに収まります。3億円という数字が必要になるのは、上場企業の連結子会社や、医療・金融・公共のサプライチェーンに深く入っている会社だけです。中小企業の経営者が「念のため」で限度額を3億円にしてしまうと、保険料は1.5倍以上に跳ね上がります。
代わりに見るべきは付帯サービスです。具体的には次の3点。
24時間365日の事故受付窓口があるか。実質的に夜間・休日に電話が繋がるのは東京海上日動とChubbです。AIGも窓口は持っていますが、土日深夜の初動レスポンスは契約プランによって差があります。深夜2時にランサムノートが出た時、繋がらない窓口は無いのと同じです。
初動対応のセキュリティベンダーがあらかじめ指定されているか。インシデント発生から24時間以内にフォレンジック調査を開始できるかどうかは、復旧期間と漏洩判定の精度を大きく左右します。三井住友海上はMS&ADインターリスク総研、東京海上日動は東京海上ディーアール傘下のベンダーを動員する形で、保険金とは別建てで動きます。自社で慌ててセキュリティベンダーを探し始めると、まず一次対応の見積もりだけで300万円から600万円、初動の72時間が遅れます。
初期費用ゼロでの法律相談・PR支援が含まれているか。個人情報漏えいの48時間で必要になるのは、法的義務の整理と取引先・顧客への通知文書のドラフトです。ここを社内で用意するのは現実的に不可能で、専門家のリレーが組まれているかどうかが効きます。改正個人情報保護法の通知義務は、漏えいを認知してから「速やかに」、原則として概ね3〜5日以内が想定されています。法律事務所をその場で探す余裕はありません。
## 「免責が広すぎる」契約に注意
保険料を抑えた契約に多いのが、「設定不備による情報漏えい」「内部不正」「ベンダー起因の事故」が免責になっているパターンです。Amazon S3のバケット公開設定ミス、退職者によるデータ持ち出し、委託先制作会社の脆弱なコードからの侵入。中小企業のインシデントは、ほぼこの3類型のどれかに該当します。免責に積まれていれば、保険があっても1円も出ません。
主要各社の標準約款を見比べた限りでは、Chubbの中小企業向け商品が免責の少なさで頭一つ抜けます。代わりに保険料は同じ補償限度額で他社比1.3〜1.5倍。年商20億規模の製造業で「設定ミス起因のクラウド漏えい」をカバーしようとすると、東京海上日動の標準プランでは別途オプション加入が必要で、年額が35万円から55万円程度に跳ね上がります。
損保ジャパンの低価格プランは保険料が魅力的ですが、約款の「重大な過失」条項が広く解釈される余地があり、過去の支払い事例を見る限り、設定ミス起因の事故では満額支払いまで到達しないケースが目立ちます。安いには安い理由があります。同じ年商20億規模で年間保険料18万円のプランと、Chubbで38万円のプランが並ぶ場合、設定ミスや委託先起因の事故が想定される事業者であれば、後者の方が期待支払額で見て明らかに有利です。
## 加入前に直すべき3つの社内体制
保険会社の事故査定では、加入時の質問書の回答内容と実態が食い違うと、保険金が大きく減額されます。質問書で「全端末でEDRを導入している」と回答していても、実際には営業端末の4割で動いていなかった、というケースは珍しくありません。査定担当はログを取り寄せます。嘘はバレます。
加入前に最低限詰めておくべきは次のとおり。多要素認証を全管理者アカウントで強制化していること、バックアップが3-2-1ルール(3コピー・2媒体・1オフサイト)で動いていること、退職者の権限剥奪が48時間以内に終わるプロセスが文書化されていること。これらは保険料の割引にもつながりますし、何より事故発生時の保険金支払い拒否のリスクを大きく減らします。
加えて、過去2年以内のインシデント履歴は正直に申告する必要があります。フィッシングメールでの軽微な情報漏えいでも、未申告で発覚すると重大な告知義務違反として契約解除の対象になります。隠していたインシデントが査定中に判明したケースを、過去に2件見ています。どちらも保険金ゼロでした。
## 実際の支払い事例から見える「使える保険」の条件
ある製造業の事例。年商15億、従業員80名。委託先のWebサイト制作会社のコードに脆弱性があり、顧客情報1.2万件が漏えい。フォレンジック調査費用480万円、法務対応・通知費用620万円、コールセンター設置で340万円。総額1,440万円の支出に対し、東京海上日動の中小企業向けプラン(年間保険料28万円、限度額1億円)から、約1,180万円が支払われました。免責部分が委託先賠償の上限260万円。
別のケースは年商4億のEC事業者。Shopifyの設定ミスで顧客の決済情報が約8,400件分外部に流出。Chubbの保険(年間保険料32万円、限度額5,000万円)から、調査・通知・カード再発行費用の3,650万円が満額支払われました。設定ミスの免責が無いプランを選んでいたことが効きました。
逆に支払いが渋られたケース。年商6億のサービス業で、退職者がUSBで顧客リストを持ち出し、転職先で利用。内部不正の免責が含まれた損保ジャパンの低価格プランで、最終的に支払いは法務費用の一部、150万円のみ。被害総額は900万円を超えていました。
## それでも入る価値があるか
年商3億・従業員30名・個人情報5万件を扱う事業者の場合、年間保険料20万円前後で、ランサムウェア被害時のフォレンジック費用・身代金交渉支援・PR支援・通知費用・営業損失をカバーできます。仮にインシデントが10年に一度発生するとして、平均的な被害額が3,000万円。期待損失300万円に対して保険料20万円ですから、純粋な期待値だけで見ても割に合います。
ただし、繰り返しになりますが、保険は事後の補償です。事前の予防に同じ予算を回した方が効率が高い局面もあります。年商1億未満の事業者であれば、まず1Password BusinessとMicrosoft Defender for Businessの年間ライセンス費用に充てる方を勧めます。月額換算で4,000円から6,000円のセキュリティツール導入が、20万円のサイバー保険より効くフェーズは確実にあります。
サイバー保険を検討する前に、自社の「何が止まったら一番痛いか」を3つ書き出してみてください。受発注システム、顧客データベース、ECサイト。痛みのあるシステムから順に、保険・予防・復旧計画の優先度を決める。順番が逆になっている会社が、被害を大きくします。保険は最後の防衛線であり、最初の壁ではありません。
中小企業の経営者から「うちにサイバー保険って必要ですか」と聞かれた場合、答えは決まっています。年商3億以上、顧客の個人情報を扱う、もしくは取引先からのセキュリティ質問書に答える機会がある会社なら、加入を強く推奨します。逆に従業員5名以下のサービス業で個人情報を最小限しか扱わないのであれば、その予算はMFA強制化やEDR導入に回す方がよほど効きます。
理由はシンプルで、保険金そのものより「事故が起きた瞬間に動いてくれる窓口」の有無が、損害額の桁を変えるからです。
## 保険金より付帯サービスを見る
国内で中小企業向けサイバー保険を実質的に売っている主要な会社は、東京海上日動、AIG、Chubb、損保ジャパン、三井住友海上の5社です。年商10億・従業員50名規模の見積もりで、年間保険料はおおむね15万円から80万円のレンジに収まります。補償限度額は5,000万円から3億円程度が一般的です。
ここで注意したいのが、補償限度額の数字に引きずられないことです。中小企業のインシデントで「3億円の損害賠償」まで至るケースは現実には少なく、多くは「初動対応のフォレンジック費用と通知費用で500万〜2,000万円」「業務停止による逸失利益で数百万〜数千万円」というレンジに収まります。3億円という数字が必要になるのは、上場企業の連結子会社や、医療・金融・公共のサプライチェーンに深く入っている会社だけです。中小企業の経営者が「念のため」で限度額を3億円にしてしまうと、保険料は1.5倍以上に跳ね上がります。
代わりに見るべきは付帯サービスです。具体的には次の3点。
24時間365日の事故受付窓口があるか。実質的に夜間・休日に電話が繋がるのは東京海上日動とChubbです。AIGも窓口は持っていますが、土日深夜の初動レスポンスは契約プランによって差があります。深夜2時にランサムノートが出た時、繋がらない窓口は無いのと同じです。
初動対応のセキュリティベンダーがあらかじめ指定されているか。インシデント発生から24時間以内にフォレンジック調査を開始できるかどうかは、復旧期間と漏洩判定の精度を大きく左右します。三井住友海上はMS&ADインターリスク総研、東京海上日動は東京海上ディーアール傘下のベンダーを動員する形で、保険金とは別建てで動きます。自社で慌ててセキュリティベンダーを探し始めると、まず一次対応の見積もりだけで300万円から600万円、初動の72時間が遅れます。
初期費用ゼロでの法律相談・PR支援が含まれているか。個人情報漏えいの48時間で必要になるのは、法的義務の整理と取引先・顧客への通知文書のドラフトです。ここを社内で用意するのは現実的に不可能で、専門家のリレーが組まれているかどうかが効きます。改正個人情報保護法の通知義務は、漏えいを認知してから「速やかに」、原則として概ね3〜5日以内が想定されています。法律事務所をその場で探す余裕はありません。
## 「免責が広すぎる」契約に注意
保険料を抑えた契約に多いのが、「設定不備による情報漏えい」「内部不正」「ベンダー起因の事故」が免責になっているパターンです。Amazon S3のバケット公開設定ミス、退職者によるデータ持ち出し、委託先制作会社の脆弱なコードからの侵入。中小企業のインシデントは、ほぼこの3類型のどれかに該当します。免責に積まれていれば、保険があっても1円も出ません。
主要各社の標準約款を見比べた限りでは、Chubbの中小企業向け商品が免責の少なさで頭一つ抜けます。代わりに保険料は同じ補償限度額で他社比1.3〜1.5倍。年商20億規模の製造業で「設定ミス起因のクラウド漏えい」をカバーしようとすると、東京海上日動の標準プランでは別途オプション加入が必要で、年額が35万円から55万円程度に跳ね上がります。
損保ジャパンの低価格プランは保険料が魅力的ですが、約款の「重大な過失」条項が広く解釈される余地があり、過去の支払い事例を見る限り、設定ミス起因の事故では満額支払いまで到達しないケースが目立ちます。安いには安い理由があります。同じ年商20億規模で年間保険料18万円のプランと、Chubbで38万円のプランが並ぶ場合、設定ミスや委託先起因の事故が想定される事業者であれば、後者の方が期待支払額で見て明らかに有利です。
## 加入前に直すべき3つの社内体制
保険会社の事故査定では、加入時の質問書の回答内容と実態が食い違うと、保険金が大きく減額されます。質問書で「全端末でEDRを導入している」と回答していても、実際には営業端末の4割で動いていなかった、というケースは珍しくありません。査定担当はログを取り寄せます。嘘はバレます。
加入前に最低限詰めておくべきは次のとおり。多要素認証を全管理者アカウントで強制化していること、バックアップが3-2-1ルール(3コピー・2媒体・1オフサイト)で動いていること、退職者の権限剥奪が48時間以内に終わるプロセスが文書化されていること。これらは保険料の割引にもつながりますし、何より事故発生時の保険金支払い拒否のリスクを大きく減らします。
加えて、過去2年以内のインシデント履歴は正直に申告する必要があります。フィッシングメールでの軽微な情報漏えいでも、未申告で発覚すると重大な告知義務違反として契約解除の対象になります。隠していたインシデントが査定中に判明したケースを、過去に2件見ています。どちらも保険金ゼロでした。
## 実際の支払い事例から見える「使える保険」の条件
ある製造業の事例。年商15億、従業員80名。委託先のWebサイト制作会社のコードに脆弱性があり、顧客情報1.2万件が漏えい。フォレンジック調査費用480万円、法務対応・通知費用620万円、コールセンター設置で340万円。総額1,440万円の支出に対し、東京海上日動の中小企業向けプラン(年間保険料28万円、限度額1億円)から、約1,180万円が支払われました。免責部分が委託先賠償の上限260万円。
別のケースは年商4億のEC事業者。Shopifyの設定ミスで顧客の決済情報が約8,400件分外部に流出。Chubbの保険(年間保険料32万円、限度額5,000万円)から、調査・通知・カード再発行費用の3,650万円が満額支払われました。設定ミスの免責が無いプランを選んでいたことが効きました。
逆に支払いが渋られたケース。年商6億のサービス業で、退職者がUSBで顧客リストを持ち出し、転職先で利用。内部不正の免責が含まれた損保ジャパンの低価格プランで、最終的に支払いは法務費用の一部、150万円のみ。被害総額は900万円を超えていました。
## それでも入る価値があるか
年商3億・従業員30名・個人情報5万件を扱う事業者の場合、年間保険料20万円前後で、ランサムウェア被害時のフォレンジック費用・身代金交渉支援・PR支援・通知費用・営業損失をカバーできます。仮にインシデントが10年に一度発生するとして、平均的な被害額が3,000万円。期待損失300万円に対して保険料20万円ですから、純粋な期待値だけで見ても割に合います。
ただし、繰り返しになりますが、保険は事後の補償です。事前の予防に同じ予算を回した方が効率が高い局面もあります。年商1億未満の事業者であれば、まず1Password BusinessとMicrosoft Defender for Businessの年間ライセンス費用に充てる方を勧めます。月額換算で4,000円から6,000円のセキュリティツール導入が、20万円のサイバー保険より効くフェーズは確実にあります。
サイバー保険を検討する前に、自社の「何が止まったら一番痛いか」を3つ書き出してみてください。受発注システム、顧客データベース、ECサイト。痛みのあるシステムから順に、保険・予防・復旧計画の優先度を決める。順番が逆になっている会社が、被害を大きくします。保険は最後の防衛線であり、最初の壁ではありません。