見出し画像

サイバー侵害に纏わる訴訟件数が増加している課題に直面して

しょうさま@損保アンダーライター

サイバー侵害は米国の原告団にとって最新の的となっている。

ここ数年、米国ではサイバー侵害やその他のサイバー事件に対する訴訟件数が大幅に増加している。より多くの個人情報がインターネット上に保存されるようになるにつれ、巧妙化するサイバー犯罪や単なる人為的ミスの可能性も高まっている。 そして、情報漏洩が発生すると、多くの場合、同時に多数の消費者に影響が及ぶ。

データ漏洩が増加する中、訴訟の影響を受けている企業数は2019年の79社から2023年には357社になり、350%以上増加していることが分かった。


規制および法改正

この傾向に合わせて、これまで限られた成功事案しかなく、データ侵害の集団訴訟では損害の立証が困難だった原告側の主張は、現在は弁護士にとって容易になりつつある。

2016年、米第6巡回区控訴裁判所は、盗まれたデータが使用されたことを証明できなくても、原告らは損害を被ったと結論づけた。 この訴訟で原告側は、ハッカーが米国最大級の保険・金融サービス会社のコンピューター・ネットワークに侵入し、110万人分の個人情報を盗んだと主張た。

オハイオ州南部の連邦地裁は、この侵害によって個人情報詐欺の「差し迫った緊急かつ継続的なリスクの増大」が生じたと審理した。 連邦地裁は保険会社側の棄却の申し立てを認めたものの後に控訴裁判所によって覆され、原告側の訴えは差し迫った将来発生し得る大きな損害のみに基づくことが可能と判断した。

原告に大きな勝利

社会的なインフレもサイバー関連訴訟の増加に一役買っている。著名なサイバー侵害の多発により、データ・プライバシーに対する国民の意識が高まっているからだ。

2023年5月に発見されたProgress Software Corpのファイル共有ツールMOVEitへのサイバー攻撃は、世界中の多数の政府機関や約8,000の組織情報を漏洩し、数百万人に影響を与えた。 この結果、数十の組織を巻き込んで約320件の個別訴訟が提起された。

2017年のサイバー攻撃後、過去最大級の和解が行われたのは、約1億5,000万人分の個人情報と財務情報を流出させたアメリカの多国籍消費者信用調査会社、Equifax Inc.である。 このデータ分析大手は、連邦取引委員会、消費者金融保護局、米国の全州・地域との和解の一環として、4億2500万ドルの消費者返還基金を含む最大7億ドルの支払いに合意した。

2022年、携帯通信大手のT-Mobileは、約7,700万人に影響を与えたデータ漏洩に伴う集団訴訟で敗訴し、クラスメンバーの請求と弁護士費用として3億5,000万ドルを支払わなければならなかった。

サイバー侵害を理由とする企業に対する訴訟の殆どは、このような巨額の和解には至らないが、小規模なものは積み重なる。 Zywaveの調査によると、昨年、州裁判所および連邦裁判所で和解が成立した約100件のサイバー訴訟では、総額約6億5000万ドルが支払われた。

法律事務所は、このような訴訟で儲けることができることを更に認識するようになり、殆どの法律事務所が支払額の25%前後を取っている。 原告企業の中には、この分野の専門チームを編成して情報漏洩を特定し、関係者が多数いれば、その代理人として訴訟を起こすところもある。

Zywaveの調査によると、米国最大の原告団であるMorgan & Morganは、158件のサイバー侵害訴訟で8億4000万ドル以上の和解金をクライアントに支払っている。 また、ミルバーグ・コールマン・ブライソン法律事務所は200件以上の訴訟を起こし、8,800万ドル以上の和解金を得ている。

更にZywaveの調査では、約20万件のサイバー事件と、訴訟や罰金を含むその結果生じた金銭的影響について記述された約6万7000件の追加事例が調査された。 また、晒された情報の数が多いほど、訴訟や罰金が発生する確率が高く、個人の健康状態や金融関係の個人情報が最も訴訟や罰金の原因になるとの結論に達した。

保険業界の対策

このようにサイバー侵害に対する訴訟が増加し、企業に金銭的負担がかかることから、保険アンダーライターはヘルスケアや小売業など、デジタル時代に法的措置のリスクを最も受けやすい企業を特定することに一層注力せざるを得なくなっている。

保険金請求の専門家も、訴訟や多額の和解金へのエクスポージャーが最も大きい違反を特定するために、戦略を練り直す必要があると考えている。当社の調査によると、連邦裁判官は保守的で原告寄りではなく、勝訴率は州裁判所の方が遥かに高い。

このようなケースにおける弁護費用や賠償費用の増加という課題に直面するため、サイバー保険を引き受けられる保険会社は保険料コストの増加にこれを織り込んでいく必要がある。 また、免責事項やサブリミットを導入する必要があるかどうか、自社の書式を注意深く評価する必要があるだろう。

リスク・マネジャーは、包括的なサイバー・リスク管理計画を策定して企業が侵害に対する防御を強化し、リスクを軽減するよう促すべきである。

企業のサイバー・セキュリティがいかに強固であっても、侵害に対する鉄壁の保証はない。 サイバー保険は、サイバーリスク管理計画に不可欠なものであると考えている。 サイバー脅威が進化し続け、訴訟件数が増加する中、リスク管理者は進化するサイバー商品やサービスにも目を配る必要がある。

サイバー保険の申込人・契約者は、ブローカーと綿密な打ち合わせを行い、自分の保険が十分な補償を提供しているか、どの程度の保護が必要かを確認することをお勧めしたい。

いいなと思ったら応援しよう!