発注者こそ知っておきたいシステム開発における保険知識【2024年最新版】

システム開発には残念ながら納品をめぐるトラブルもあります。
また、システムの運用時に悪意を持ったクラッカーなどから想定外の攻撃を受け、顧客情報が流出するなどの事態に陥ることもあります。

ITは便利で革新的なサービスを提供できる半面、常に想定外のリスクにさらされているのが現状です。
IT技術を使いこなすためには、この想定外のリスクをあらかじめ織り込んだ上でシステムを開発してもらったり運用していったりするという発想が必要です。

この「想定外の事態に備える」というというリスク管理の手法は、いわゆる「保険をかける」というやり方で具体化できます。
企業活動においてはさまざまな保険商品が用意されていますが、IT分野においても「想定外の事態に備える」ためのIT保険が開発されるようになってきています。

大規模なシステム開発を発注したり、いったん不具合があると莫大な損失を計上しなければならないようなミッションクリティカルなシステムを運用したりするときに、アウトソーシング先のシステム開発会社などがきちんとIT保険に加入しているかどうかは発注先を選ぶ上でのポイントとなってきます。

この記事ではIT保険の概略と、発注側がIT保険によってどのように「想定外の事態に備える」ことができるかを解説します。

保険商品が対象とするリスクは、常に「自分自身は大丈夫」という思い込みがついてまわります。
これは個人の保険でも企業向けの保険でもまったく同じで、実際にそうした事態が起きてみるまでは、なかなかリアルに「想定外の事態」を実感できないのが現実です。

しかしITの現場においては、「システムの高度化・複雑化」「グローバル化による海外勢との競争激化」「慢性的な技術者不足」「過密スケジュールがもたらすミス」「悪意あるクラッキングの頻発化、高度化」といったことが日常的に発生しています。

まずは、こうした「想定外の事態」の実態を把握することで、自分自身の周りにある危機を認識することが大切です。

■ システム開発におけるリスク例
納品前の受け入れテストにおいては、まったく不具合がなかったにも関わらず、実際にオンプレミス上で他のシステムと接続をして大規模なデータのやり取りを始めた途端、処理に想定外の時間がかかることが判明した。
当初は処理時間の遅延の問題だけだったが、やがてアクセス集中時にシステムが止まるようになって日常業務に支障が出るようになった。

■ システム管理におけるリスク例
サーバー周りの保守をアウトソーシングする際、SLA（サービスレベルアグリーメント）も明確化して保守契約を結んだ。
社内のアクセス集中などのリスク管理は十分だったものの、DoS攻撃（故意にアクセスを集中させることによってサーバーをダウンさせるクラッキング手法）によりメールサーバーがダウンし、その結果社内外の重要メールが届かなかったり紛失したりするなどの甚大な被害が生じた。

■ パッケージソフトウェア開発におけるリスク例
パッケージソフトはカスタマイズが前提だが、カスタマイズをしている中で、マージすべき顧客データを毀損してしまった。
あるいはデータベースとの接続部分の不具合により、既存データベースにダメージを与えてしまった。

■ ASP、SaaSにおけるリスク例
管理システムをSaaSにより提供していたが、システムのトラブルにより、サービスがまる２日間止まってしまった。
この間新規顧客の募集ができなかった、既存の顧客の解約が相次いだなど、逸失利益が莫大となった。

■ インターネットサービスプロバイダ（ISP）におけるリスク例
システムメンテナンスの際に、顧客のホームページコンテンツのすべてを削除してしまった。あるいは、顧客からの問い合わせ履歴を消去してしまった。

■ 情報処理サービスにおけるリスク例
受託している給与計算ステムに不具合が生じて、本来提出すべき期間内に給与支払いデータが用意できず、給与遅延という事態を招いてしまった。
あるいはECサイトの受注から商品発送業務等のシステムにトラブルがあって、翌日配達の公約が果たせなかった。

いま見てきたようなITの現場における「想定外の事態」に対し、発注側企業はどのようなリスクヘッジを行うべきでしょうか。

IT保険は基本的には、発注側企業ではなく開発側企業が加入するものですので、発注先企業が適切なIT保険に加入しているかどうかを発注前にチェックしたり、場合によっては案件に合致したIT保険に新規に加入することを発注の条件としたりすることなどが大切です。

これは例えば、不動産会社が賃貸契約をするときに契約の条件として「火災保険」や「地震保険」に加入したりすることや、家賃が払えなくなったときのリスクに備えて「家賃補償保険」に加入することを借り手に義務付けたりすることと似ています。

システム開発会社は、想定外の支払いに関してまったく問題のない企業ばかりではありません。
むしろ、超大手のメーカー系開発会社などを除けば、資金繰りに潤沢な余裕のある企業は珍しいと言っても過言ではないでしょう。

したがってシステム会社には、実際に問題があったときに発注者側に金銭的な補償をしたり、サービスを継続するための代替手段を講じたりする余力のない企業も多いのです。
とはいえ、そうした会社も技術力が高かったり、サービスの質が高かったりと、資本力以外のところはまったく問題がないというケースもIT業界には多いのが現状です。
つまり、万が一のときに自社のみで対応できる資本力がないから、という理由だけでそうした企業を発注先候補から落としていくこともできない場合が多いわけです。

こうしたケースで、先程の家を貸すときの保険のように、実際に問題があった場合に貸主に対して金銭的な補償を行ってくれる保険加入を条件として契約を進めることが考えられるのです。

それでは、資本力が十分でない開発会社と契約するときに、開発会社にどんなIT保険の加入を条件として伝えたらよいのでしょうか。
「想定外の事態」で整理したように、IT系の保険が必要になる場合としては「システム開発におけるリスク」「システム管理におけるリスク」、「パッケージソフトウェア開発におけるリスク」「ASP、SaaSにおけるリスク」「インターネットサービスプロバイダ（ISP）におけるリスク」「情報処理サービスにおけるリスク」などのさまざまなパターンがあります。

IT事業で発生した賠償責任に対して包括的に補償する保険や、開発事業者向け、ネットワーク事業者向け、など業種ごとに用意しているもの、また、システム開発の内容や、運用・保守などの内容に沿って個別に保険リスクを算出して契約するものなどさまざまです。

こうした保険につき、これから契約を進めようとしている企業が十分な理解をし、必要な保険に加入しているかをチェックすることはとても大切です。

IT事業者向け保険は、歴史がまだ浅いせいもあってオーダーメイド色が強く、保険会社のほうでも、企業ごと、案件ごとにヒアリングを重ねて最適な保険商品を個別に提案しているといった傾向が強いので、発注候補予定の開発会社がどの程度まで補償を受けられる保険に入っているのかは、契約を進めるための条件として、きちんと聞いておいたほうがよいでしょう。

＊ これらのサービスは、基本的に加入した開発会社が保険会社より受けるサービスとなり、発注者側のシステムを診断してくれるなどの個別サービスとはなっておりません。
しかし、開発会社の方で常に最新の情報を享受するチャネルを持ち、自社のシステムを安全に保っていることになり、保険加入していない業者に比べて安心度が高いと言えます。

■ 情報提供サービス
開発会社に対し、最新のサイバーテロ、クラッキング事件などの速報や、手口の紹介、対策の指針などの情報の提供のほか、リスクセミナーの案内、ニュースレターなどがあります。

■ ツール提供サービス
開発会社に対し、セキュリティアップデート手段や、従業員のセキュリティリスクに関する意識向上のための教育ビデオの貸し出しなどがあります。クライアント企業へのツール提供やシステムのアップデートなどに関しては、開発会社が直接行います。

■ 定性リスク診断サービス
現在開発会社で稼働しているサービスを定性的に診断し、明らかなセキュリティホールなどの欠陥がないかどうかをチェックします。クライアント企業への診断は開発会社が直接行います。

■定量リスク診断サービス
現在開発会社で稼働しているサービスを定量的に診断し、明らかなセキュリティホールなどの欠陥がないかどうかをチェックします。クライアント企業への診断は開発会社が直接行います。

■ 平時の紹介サービス
開発会社での事故発生前に、セキュリティコンサルティングや脆弱性診断、セキュリティログ解析などを行うための人材や、企業を紹介します。

■ 有事の紹介サービス
開発会社での事故発生時において、素早い復旧と事後処理を任せられるエキスパートを紹介します。

最後に、システム開発を外注した際にかかる費用相場をご紹介します。

システム開発の費用相場をご紹介しました。より正確な費用を知りたい方は料金シミュレーターをご利用ください。

記事中に例として挙げたように、賃貸住宅を不動産会社が仲介する場合、火災保険や地震保険、家賃補償保険などに加入することを賃貸契約の義務とする場合がほとんどです。

これは、借主側に明白な落ち度がなかったとしても、火災に巻き込まれたり、地震の被害にあったり、不慮の事故などで家賃が払えなくなったりといったケースを想定して、貸主側に不利益が生じないように事前に補償の手段を確保しておこうという発想です。

IT保険もまったく同じで、保険加入により、発注先の開発会社が想定外のトラブルに陥ってしまったケースであっても、保険によって発注者側の損失をカバーする手段を取ってもらうということが可能となります。

しかしながら、IT保険はまだ歴史も浅く業界への浸透度もまだまだの面があります。
発注者に迷惑をかけないためにIT保険を活用する、という考え方を持っている業者がすべてではありません。

「アイミツ」にご相談いただければ、IT保険に加入している開発会社など、案件やご要望に沿った開発業者をご紹介することが可能ですので、ぜひお声をかけていただければと思います。