貨物保険(海上保険)の不担保損害

貿易運送では様々な事故が想定されることから、取引を行う際には貨物保険(Marine Insurance。海上保険、外航保険など保険会社によって呼称は色々です)を付保するのが一般的です。
どういった事故に備えるのかについて、つまり担保範囲は貨物の性質によって新旧約款それぞれ3条件から選ぶのはご存じのとおりです。
その一方で、損害が発生しても保険金が支払われない「不担保損害」があるのもご存じのとおりでしょう。
不担保損害としてよく挙げられる損害事由は「遅延損害」「被保険者の故意」「不完全梱包」「自然の消耗・通常の漏損」「貨物固有の瑕疵または性質」などといったものでしょう。

この不担保損害に近年加わったものが「サイバー攻撃により生じた損害」です。
より詳しい表現としては、三井住友海上保険のウェブサイトに記載のある「被保険者が事業者(個人事業主を含む)である場合に、直接であると間接であるとを問わず、サイバー攻撃によって生じた損害」ということになります。

では、「サイバー攻撃によって生じる損害」とはどういったものでしょうか?
貨物保険は「貨物そのものが損害を受けた場合」ですから、なんらかの物理的なダメージが発生することになります。
よって、船会社のシステムがランサムウェアに乗っ取られただけというのは関係ありません。

ところで、航行中の船では2系統のシステムが稼働しています。
1つはOT系(Operation Technology系)と呼ばれるもので、これには航海系のものとしてGPSやAISといった位置情報システム、船用レーダー、電子海図、航海記録装置が、機関系のものとしてAIS/DCSといった機関監視制御装置があります。
これらは船内の「OT LAN」によって繋がり、ジャイロ・コンパスや自動航行機能を稼働させています。
つまり、船の航行や船内機能に直接関係しているのはOT系だと言えます。
もう1つがIT系(Information Technology系)と」呼ばれるもので、「IT LAN」で船内業務用のPCやプリンターが繋がっています。

OT系はインターネットと直接繋がっていませんので、ここが直接的にサイバー攻撃を受けることはありません。
一方、IT系は陸上の船会社と繋がる必要があり、衛星回線を通じてインターネットに接続していますから、サイバー攻撃の入口がどこになるのかといえばここになります。
船舶は洋上にあるのはほとんどなので、狙いにくく、攻撃の入口として陸上側が狙われるのが一般的です。
もちろん、Firewallなどによって防御はしていますが、なかなか100%の防御は難しく、陸上の船会社経由で船内IT系にウイルスなどが侵入することがありえます。

そして実はIT系にはもう1つあり、それは船員の娯楽用に開放しているインターネット回線です。
船上のネット環境といえば、以前は1日に数回のメールを受信できる程度のフラッシュ的な通信だけでしたが、いまやスマホやタブレットを含めてネット接続ができないと「船員のなり手がない」のが現状らしく、多くの外航船では船員にも船内でネットを使うことを許容しています。
問題は、ITリテラシーの低い船員がウイルスを含んだファイルをダウンロードしてしまい、それが船内IT系を汚染する可能性があるということです。
もちろん、地上と同じく、船員が持ち込んだUSBメモリー経由ということもありえます。
OT系とIT系は別のものであるものの、どうしても接続しなければならない部分はありますので、IT系を通じてOT系が汚染される可能性があるわけです。

セキュリティー企業のラックによれば、2001年から22年間で海事分野のサイバー攻撃による事故・事件報道は約160件あったとのこと。
多くは陸上の船会社や海事関係団体への不正アクセスやランサムウエア攻撃でしたが、船舶のGPS・AISへのジャミング(電波妨害)やなりすましといった事件も起こっています。
ただ、今のところ「まだ重大なインシデント(事象)は起きていない」とのことです。

しかし、AIにおる自律運行船という話も出てきている昨今、GPSを狂わされたり、電子海図が書き換えられたり、自動航行機能が乗っ取られたりするなどで、将来的に重大な事故が起こる可能性は十分に考えられることでしょう。
そこまで大きくなくとも、船内の電源システムをいじられるだけで、冷蔵・冷凍コンテナが機能しなくなり、貨物が全部腐ってしまうなんてこともありえます。

しかし、上述にようにサイバー攻撃は保険免責なわけですから、輸出者/輸入者といった荷主側としては、本船へのサイバー攻撃についても考えなければいけない時代になったわけです。
幸いなことに、ビジネスベースの輸出者/輸入者は運送業者を選べます。
(個人は保険免責の対象になっていないのは、業者を選べないからでしょう。)
これからは、業者選択において、サイバー・セキュリティがしっかりしているのかも選択要素の1つとして見なくてはいけませんね。(I)