資料請求・お見積り- IT事業者様向け｜サイバーリスク保険・個人情報漏えい対応

資料請求・お見積り ― IT事業者様向け

以下の項目にご入力いただき、「確認画面へ」ボタンをクリックしてください。
の項目は必ずご入力ください。

資料のダウンロードURLをご入力いただいたメールアドレスにお送りいたします。

◆お電話による資料請求・お見積◆
募集代理店ファーストプレイス
フリーダイヤル：0120-115-910
［受付時間 9:00−17:00（土・日・祝休業）］

企業・ご担当者様情報

企業名	（例）株式会社ファーストプレイス
担当部署	（例）総務部
担当者名	（例）山田　一郎
電話番号	（例）03-5485-1818
メールアドレス	（例）yamada@firstplace.co.jp
郵便番号	（例）107-0062　郵便番号を調べる
住所	（例）東京都港区南青山5-4-40
ビル名等	（例）南青山ビル 3F
企業サイトのURL	（例）https://www.firstplace.co.jp
備考欄

お見積り

お見積りをご希望の場合は、告知事項をご入力ください。
お見積りされない場合は、ページ下部の「確認画面へ」ボタンをクリックしおすすみください。

お見積り	簡易見積りをする詳細な見積をする（任意回答の告知項目をご回答いただくことで、さらに割引になる可能性がございます。）お見積りしない

●以下のご質問事項にご回答ください。

業種	※「その他」をお選びの方はご入力ください。
売上高	千円 ※前年度の売り上げを千円単位でご入力ください。 ※新規設立の場合は、事業計画書等に計画された1年間の売上高を記入してください。

過去３年間において、下記に該当する事故が発生したことがありますか。
①サイバー攻撃による情報（個人情報に限りません）の漏えい^（※） ②サイバー攻撃により生じた24時間以上の事業またはコンピュータシステムの一部または全部の停止 ③サイバー攻撃によるデータの消失、破壊または改ざん等（※）個人情報保護法およびそれに類する法令に基づき規制当局への通知または報告を要する、個人情報の漏えいのおそれを含みます。	はいいいえ

過去３年間において、下記に該当する事故が発生したことがありますか。

①サイバー攻撃による情報（個人情報に限りません）の漏えい^（※）
②サイバー攻撃により生じた24時間以上の事業またはコンピュータシステムの一部または全部の停止
③サイバー攻撃によるデータの消失、破壊または改ざん等

（※）個人情報保護法およびそれに類する法令に基づき規制当局への通知または報告を要する、個人情報の漏えいのおそれを含みます。

はいいいえ

●以下のご質問事項にご回答ください。

ご質問事項内の青色のリンク文字につきましては、クリックすると用語一覧ページが開きますので、ご参照ください。

質問項目の入力をMicrosoft Wordファイルでご希望の場合は、お問い合わせフォームよりご連絡ください。メールでファイルをお送りいたします。
→お問い合わせフォームはこちら

●IT業務に関する売上高

IT業務に関する売上高について、ソフトウェア開発・プログラム作成業務の売上高を「売上高A」欄に、それ以外のIT業務の売上高を「売上高B」欄にそれぞれ入力してください。売上高の内訳が不明な場合は、「売上高A」欄にすべてのIT業務の売上高の合計額を申告してください。
その場合、「売上高B」欄はゼロ（0）を入力してください。
売上高の区分がご不明な場合は、IT業務に関する売上高をご参照ください。

売上高A（ソフトウエア開発・プログラム開発の伴うIT業務）	千円 ※千円未満を四捨五入し、千円単位で申告してください。
売上高B（上記以外のIT業務）	千円 ※千円未満を四捨五入し、千円単位で申告してください。
売上高の対象期間（最近の会計年度）	〜 ※売上高は、「把握可能な最近の会計年度における実績数字」をご申告ください。売上高が「最近の会計年度」の数字でない場合は、本欄は空欄とし、次の欄にご記入ください。
売上高の対象期間（最近の会計年度以外の期間）	〜

●全売上高（最近の会計年度）

下記「業種」から該当する業種を選択してください。
※業種が複数にまたがっている場合は、ご契約締結時において算出基礎数字が最も大きい業種を選択ください。
※すべての業種の全売上高を入力してください。

業種	※「その他」をお選びの方はご入力ください。
全売上高	千円 ※千円未満を四捨五入し、千円単位で申告してください。
全売上高の対象期間（最近の会計年度）	〜 ※全売上高は、「把握可能な最近の会計年度における実績数字」をご申告ください。全売上高が「最近の会計年度」の数字でない場合は、本欄は空欄とし、次の欄にご記入ください。
全売上高の対象期間（最近の会計年度以外の期間）	〜

●ご質問事項

ご質問事項		ご回答
1	過去３年間において、下記に該当する事故が発生したことがありますか。ある場合は、下記に詳細をご記入ください。 ①サイバー攻撃による情報（個人情報に限りません）の漏えい^（※） ②サイバー攻撃により生じた24時間以上の事業またはコンピュータシステムの一部または全部の停止 ③サイバー攻撃によるデータの消失、破壊または改ざん等（※）個人情報保護法およびそれに類する法令に基づき規制当局への通知または報告を要する、個人情報の漏えいのおそれを含みます。	はいいいえ
1	事故概要、原因および被害範囲の特定状況、復旧状況、再発防止策、事故対応に要した費用額（概算見込額）をご記入ください。
2	IT業務を補償対象としますか。（IT業務担保特約条項を付帯しますか。）	はいいいえ
3	【IT業務を補償対象とする場合（IT業務担保特約条項を付帯する場合）のみご回答ください】過去３年間において、IT業務の遂行に起因して第三者から損害賠償請求を受けたことがありますか。ある場合は、下記に詳細をご記入ください。	はいいいえ
3	事故の概要、損害額、再発防止策等をご記入ください。
4	【IT業務を補償対象とする場合（IT業務担保特約条項を付帯する場合）のみご回答ください】電子認証業務を現在行っていますか。または、今後１年以内に行う予定はありますか。	はいいいえ
5	暗号資産交換業務を行っていますか。または、今後１年以内に行う予定はありますか。	はいいいえ

●貴社記名被保険者の情報セキュリティ対策について、以下のご質問事項にご回答ください。

ご質問事項内の青色のリンク文字につきましては、クリックすると用語一覧ページが開きますので、ご参照ください。

ご質問事項		ご回答
1	サイバー攻撃等のサイバーセキュリティリスクを経営リスクの１つとして認識し、サイバーセキュリティリスクに対する対応方針を組織外に宣言していますか。	はいいいえ
2	サイバーセキュリティに関するルール（個人情報保護および業務上の機密情報の取扱いを含むルール）について、当てはまるものを選択してください。	ルールが存在し、定期的な見直しにより、変更している。ルールは存在するが、定期的な見直しを行う決まりは無い。ルールは存在しない。
3	従業員（派遣社員・協力会社社員を含む）へ実施しているサイバーセキュリティ教育について、最も当てはまるものを選択してください。	サイバーセキュリティに関するルールを従業員に周知したうえで、定期的に教育・演習（e-learning、集合研修、標的型メール等に対する訓練等）を行っている。サイバーセキュリティに関するルールを従業員に周知しているが、特に定期的な教育・演習は行っていない。サイバーセキュリティに関するルールを従業員に周知していない、あるいはルールが存在しない。
4	経営戦略に基づき、守るべき情報資産（例：顧客データ・知的財産等の情報、基幹情報システム・制御システム等のデジタル環境、利用または提供しているクラウドサービス等のサービス）とその場所を特定していますか。	はいいいえ
5	組織内にSOC、CSIRTを設置する等、インシデントの発生時に迅速に対応できる体制が構築されていますか。	はいいいえ
6	インシデントによる被害からの復旧に向けた体制が構築され、文書化されていますか。	はいいいえ
7	必要なサイバーセキュリティ対策を明確にし、その対策の適切性を評価の上で、必要な資源（予算・人材等）を確保していますか。	はいいいえ
8	社内にCISO等のサイバーセキュリティ関連業務を統括する役職を置き、組織としてセキュリティ状況を把握できる管理体制が構築されていますか。	はいいいえ
9	サイバーセキュリティに関する監査について、最も当てはまるものを選択してください。	定期的に実施している。過去３年以内に実施したことがあるが、定期的に実施しているわけではない。実施したことは無い。
10	系列企業、ビジネスパートナー、（外部委託している場合）ITシステム管理の委託先が、貴社の定める情報セキュリティ要件を満たしていることを確認していますか。	はいいいえ
11	システムを新規公開または更新する際の手順について、最も当てはまるものを選択してください。	全てのケースにおいて予め定められた手順に則り、新規公開または更新を行っている。予め定められた手順は存在するが、全てのケースで適用しているかは分からない。上記以外
12	システムに対する接続時のセキュリティ対策について、最も当てはまるものを選択してください。	ファイアウォールやUTM等を導入してシステムへの接続経路を制限しており、定期的に見直しや設定基準の確認を行っている。ファイアウォールやUTM等を導入してシステムへの接続経路を制限しているが、特に定期的な見直しは行っていない。特に対策は行っていない。
13	すべての重要なサーバの通信を、IDS/IPSやWAFの導入等により、監視および制限していますか。	はいいいえ
14	すべての重要なサーバの通信を、安全性が認められた推奨手法を用いて暗号化していますか。	はいいいえ
15	社外から社内のサーバへのリモートアクセスについて、最も当てはまるものを選択してください。	全てのリモートアクセスについて、多要素認証を導入している。全てのリモートアクセスについて、認証処理を行っている。社外から社内のサーバにリモートアクセスを行うケースは存在しない。上記以外、または、特に認証処理は行っていない。
16	システム管理者がシステム操作を行うための特権アカウントについて、最も当てはまるものを選択してください。	特権アカウントのログ管理や異常検知を行う管理システムを運用し、特権アカウントの利用状況を管理している。特権アカウントを特定のユーザのみに付与しているが、利用状況の管理は行っていない。上記以外
17	社員用端末やサーバのアンチウィルスソフトやマルウェア対策ソフトのインストール状況について、最も当てはまるものを選択してください。	インストールを行うルールが存在し、そのルールが実行されていることを定期的に確認している。インストールを行うルールが存在しているが、そのルールが実行されていることまでは定期的に確認できていない、または把握していない。特にインストールに関するルールは存在しない。
18	社員用端末やサーバにインストールされたアンチウィルスソフトやマルウェア対策ソフトの更新状況について、最も当てはまるものを選択してください。	更新を行うルールが存在し、そのルールが実行されていることを定期的に確認している。更新を行うルールが存在しているが、そのルールが実行されていることまでは定期的に確認できていない、または把握していない。特に更新に関するルールは存在しない。
19	社員用端末やサーバにインストールされたOSやミドルウェアの更新状況について、最も当てはまるものを選択してください。	更新を行うルールが存在し、そのルールが実行されていることを定期的に確認している。更新を行うルールが存在しているが、そのルールが実行されていることまでは定期的に確認できていない、または把握していない。特に更新に関するルールは存在しない。
20	従業員が業務に利用している端末やクラウドサービスはシステム管理者または管理部門が指定するものを使用していますか。	はいいいえ
21	機密性の高いデータの出力ルールとその運用について、最も当てはまるものを選択してください。	データの出力ルールが存在し、その徹底や監査が可能な仕組み^（※）を導入している。データの出力ルールは存在するが、特に徹底や監査を可能とする仕組みは導入していない。特にデータの出力ルールは存在しない。（※）機密性の高い情報を印刷またはコピーする際に出力制限をする、または実行者を特定するソフトの導入等。
22	サーバの重要度に応じて、アクセス制限（機密情報へのアクセスは特定の権限者のみ許可する等）を行っていますか。	はいいいえ
23	アクセス状況を確認するために、サーバのログを収集・管理する仕組みを構築していますか。	はいいいえ
24	重要情報（個人情報や機密情報等）が格納されたサーバ類は施錠されたラック内に設置されていますか。	はいいいえ
25	従業員の入社時・退職時のルールについて、最も適当なものを選択してください。	入社・退職に伴うIDの発行・削除処理を、予め定めたルールに基づき、必ず実施している。入社・退職に伴うIDの発行・削除処理に関するルールは存在するが、実施を確認しているわけでは無い。特に入社・退職に伴うIDの発行・削除処理に関するルールは存在しない。
26	施設内の重要なエリア（個人情報や機密情報を使用・格納している場所等）について、最も当てはまるものを選択してください。	他の執務室エリアとの隔離を行った上で、入退室を全て記録している。他の執務室エリアとの隔離を行っている。上記に当てはまるものは無い。
27	重要システム（個人情報や機密情報を保持・使用するシステム等）のログを収集・管理する仕組みを構築していますか。	はいいいえ
28	収集したログを分析する等、インシデントを特定するためのプロセス・仕組みが存在していますか。	はいいいえ

● 【任意回答】記名被保険者の情報セキュリティ対策について、追加質問（全14問）にご回答いただくと、保険料の割引率が拡大する可能性がございます。

任意回答	追加質問に回答する。回答しない。

ご質問事項		ご回答
1	サイバーセキュリティ管理体制において、各関係者の役割と責任を明確にしていますか。	はいいいえ
2	守るべき情報資産（例：顧客データ・知的財産等の情報、基幹情報システム・制御システム等のデジタル環境、利用または提供しているクラウドサービス等のサービス）について、リスクを洗い出したうえで、優先順位付けを行っていますか。	はいいいえ
3	守るべき情報資産（例：顧客データ・知的財産等の情報、基幹情報システム・制御システム等のデジタル環境、利用または提供しているクラウドサービス等のサービス）とその場所について、リスト化を行ない、責任者による承認を得ていますか。	はいいいえ
4	サイバーセキュリティリスクが事業に与える影響（ビジネスインパクト）を分析していますか。	はいいいえ
5	脆弱性スキャンとペネトレーションテストを定期的に（少なくとも１年に１回）実施し、結果に応じて必要な対策を講じていますか。	はいいいえ
6	自社のサイバーセキュリティリスクや対策状況に関する、社外のステークホルダー（投資家、取引先、サプライチェーン関係者等）とのコミュニケーションについて、最も当てはまるものを選択してください。	情報公開（自社ホームページ等での公開）を行い、ステークホルダーと双方向のコミュニケーション（公開した情報を基にステークホルダーから質問を受け回答する等）をしている。情報公開を行っているが、ステークホルダーとの双方向のコミュニケーションは行っていない。上記に当てはまるものは無い。
7	システム管理者がシステム操作を行うための特権アカウントについて、一般アカウントよりもセキュリティレベルの高い手順（例：多要素認証）を必須要件としていますか。	はいいいえ
8	重要なデータについて、バックアップを定期的に取っていますか（オンライン、オフライン、クラウド上を問いません）。	はいいいえ
9	バックアップデータからの復元テストを定期的に実施していますか。	はいいいえ
10	OSやミドルウェアの更新プログラムの適用について、明確な基準を定めたうえで、自社の事業に与える影響が大きいものについて優先的に対応していますか。	はいいいえ
11	パターンマッチングでは検知できないマルウェアへの対策ツール（例：EDR）を導入していますか。	はいいいえ
12	インシデントを24時間/365日監視する体制を自社または外部委託により構築していますか。	はいいいえ
13	インシデント発生時の緊急対応計画について、当てはまるものを全て選択してください。（複数選択可、最低１つ選択）	初期対応マニュアルを作成している。定期的に対応訓練や演習を行い、必要に応じて見直しを行っている。対応プロセスには、それぞれ責任が定義・付与されている。経営者が組織の内外へ説明できる体制（報告ルート、公表する内容やタイミング等）を整備している。サプライチェーン全体（製造業における部品調達や、データ管理の業務委託のような関係のみならず、クラウドサービスなど外部のデジタルサービスの利用などデジタル環境を通じた繋がりを含む。）を考慮して対策を実施している。上記に当てはまるものは無い。
14	インシデントによる被害に備えた復旧体制について、当てはまるものを全て選択してください。（複数選択可、最低１つ選択）	被害が発生した場合に備えた業務の復旧計画を策定している。復旧作業の課題を踏まえて、復旧計画を見直している。組織の内外における緊急連絡先・伝達ルートを整備している。定期的に復旧対応訓練や演習を行っている。サプライチェーン全体（製造業における部品調達や、データ管理の業務委託のような関係のみならず、クラウドサービスなど外部のデジタルサービスの利用などデジタル環境を通じた繋がりを含む。）を考慮して対策を実施している。上記に当てはまるものは無い。

● 「個人情報保護に関する規制等対応費用担保特約条項」の付帯をご希望される場合は、以下の質問にご回答ください。

個人情報保護に関する規制等への対応について貴社で行っているセキュリティ対策をお答えください。
番号１から９のご回答に１つでも「いいえ」がある場合は、「個人情報保護に関する規制等対応費用担保特約条項」を付帯いただけません。

「個人情報保護に関する規則等対応費用担保特約条項」とは

「規制の執行（*）」に対応するために被保険者がサイバーセキュリティ事故対応費用を負担することによって生じた損害を補償する特約です。また、サイバーセキュリティ事故対応費用に「行政手続対応費用」を追加し、証拠収集費用・翻訳費用等の行政手続きに対応するための費用を補償します。ただし、制裁金・罰金等については補償対象外です。

(*)EU一般データ保護規則（GDPR：個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令）を含む個人に関する情報の保護に関する国内外の法または規則等の違反またはそのおそれに関して、監督官庁や規制当局等から調査、命令、警告または制裁金の賦課等の措置を受けることをいいます。

「個人情報保護に関する規制等対応費用担保特約条項」の付帯	特約付帯を希望する。希望しない。

ご質問事項		ご回答
1	貴社およびグループ企業内で収集、処理、保存されているEU居住者の個人データを把握できていますか。顧客情報だけでなく、EU域内の従業員や取引先担当者等の情報も含まれます。	はいいいえ
2	EU居住者の個人データを取得する際の同意取得に係るルール・手順を定め、実施していますか。	はいいいえ
3	EU居住者の個人データのEU域外への移転を行っていますか。	はいいいえ
4	データの移転を行っている場合、移転先の国・地域で個人データの十分な保護措置を確保していますか。３．が「はい」の場合にご回答ください。３．が「いいえ」の場合は、「いいえ」を選択してください。	はいいいえ
5	GDPR（第37条）に従い、データ保護オフィサー（DPO：Data Protection Officer）の設置が義務付けられている事業者に該当しますか。社内の法令遵守状況をモニタリングし、データ主体や監督当局との対応を統括する役職です。	はいいいえ
6	DPOを設置し、その役割・責任を定めていますか。 5．が「はい」の場合にご回答ください。 5．が「いいえ」の場合は、「いいえ」を選択してください。	はいいいえ
7	EU居住者の個人データ漏洩などの事故が発生した場合、事故を認識してから72時間以内に監督機関に報告できるよう、報告基準、報告者等のレポートライン等の具体的な報告手順を定めていますか。	はいいいえ
8	EU居住者の個人データの取り扱いルールを社内規定等として文書化し、従業員に周知・徹底していますか。	はいいいえ
9	貴社およびグループ企業は、GDPRに違反する、あるいは違反のおそれがあるとして、監督当局から過去に１度も指摘を受けていないですか。	はい（１度も受けていない）いいえ（過去に指摘を受けたことがある）

当社は、お客様から提供いただいた個人情報を、東京海上日動火災保険株式会社より保険業務の委託を受けて行う損害保険およびこれらに付帯・関連するサービスの提供等の遂行に必要な範囲で利用します。その他の目的に利用することはありません。

フォームをご利用の際は、必ず「個人情報保護方針」をご一読いただき、同意の上、次へお進みください。