英国 Oxford Academic サイバー保険市場における持続可能なリスク移転の障壁

こんにちは、丸山満彦です。

Oxford Academic - Journal of Cybersecurity の Volume 10 Issue 1 2024 に「サイバー保険市場における持続可能なリスク移転の障壁」という論文を掲載しています。。。

つい先日、ENISAのサイバー保険の報告書（サイバー保険 - モデルと手法、AIの活用）を紹介しhましたが、それと合わせて、損害保険会社の人に解説をしてもらいたいです...

サイバー保険については、損害データを十分に集めることが難しいため、最適な市場規模よりも実際の市場規模が小さくなるということのようですね。つまり、思った以上には普及しにくい...

参考になる部分も多い、論文だと思いました...

 

● Oxford Academic - Journal of Cybersecurity

・2024.02.07 Volume 10 Issue 1 2024 

・2024.02.20 The barriers to sustainable risk transfer in the cyber-insurance market

・[PDF]

 

目次...

The barriers to sustainable risk transfer in the cyber-insurance market	サイバー保険市場における持続可能なリスク移転の障壁
Abstract	概要
Introduction	序文
Insurance market structure	保険市場の構造
Technological advancement, information deficiency, and cyber-insurance	技術の進歩、情報不足、そしてサイバー保険
What claims might arise in relation to cyber-insurance?	サイバー保険に関連してどのようなクレームが発生する可能性があるか？
What is the motivation for reinsurance involvement in the cyber-insurance market?	再保険がサイバー保険市場に関与する動機は何か？
Relation to existing literature	既存文献との関係
Paper structure	論文構成
Literature review	文献調査
Reinsurance fundamentals	再保険の基礎
Actuarial models	数理モデル
Economic theory on efficiency	効率性に関する経済理論
Ex ante efficiency	事前効率
Ex post efficiency	生前効率
Rational belief equilibria	合理的信念均衡
Model	モデル
Insurance buyer	保険購入者
Supply of insurance	保険供給
Insurer objectives	保険会社の目的
Introducing reinsurance	再保険の導入
The reinsurance market	再保険市場
Modelling cyber-risks	サイバーリスクのモデル化
Why use subjective probabilities to model cyber-risks	サイバーリスクのモデル化に主観的確率を用いる理由
Probability distributions	確率分布
Simulations	シミュレーション
Preliminaries	前準備
Simulation strategy	シミュレーション戦略
Simulation 1: benchmark simulation	シミュレーション1：ベンチマーク・シミュレーション
Simulation 2: reinsurance supply and price	シミュレーション2：再保険供給と価格
Insurance supply	保険供給
Interaction between insurance and reinsurance	保険と再保険の相互作用
Simulation procedure	シミュレーションの手順
Considering the effect of capital	資本の影響を考慮する
Excess of loss	損害の超過分
Simulation 3: insurance buyers of variable risk	シミュレーション3：変動リスクの保険購入者
Discussion	考察
Information asymmetry	情報の非対称性
Cyber-insurer loss experience	サイバー保険会社の損害経験
Loss transparency	損害の透明性
Consistency of reference	リファレンスの一貫性
Supply and demand	需要と供給
Further work	今後の検討
Conclusions	結論
Acknowledgement	謝辞
Author contributions	著者
Conflict of interest	利益相反
Footnotes	脚注
References	参考文献
Appendix 1: insurer loss distributions	附属書1：保険会社の損失分布

 

 

考察の部分...

Discussion	考察
The simulations show the difficulty of achieving economic efficiency in an artificial cyber-insurance market even using relatively standard distributions and contract structures. However, as has been stressed, just because a market is not efficient does not mean that transactions cannot take place. We now consider some of the further informational barriers to facilitating smooth transfer of cyber-risk. Issues of data transparency, incident measurement, and reporting—making relevant data publicly available—are particularly crucial in enabling agents to make informed pricing decisions.	シミュレーションは、比較的標準的な分布と契約構造を用いたとしても、人工的なサイバー保険市場において経済効率を達成することが困難であることを示している。しかし、これまで強調されてきたように、市場が効率的でないからといって取引ができないわけではない。次に、サイバーリスクの円滑な移転を促進するための更なる情報上の障壁について考察する。データの透明性、インシデントの測定、および報告に関する問題は、関連データを一般に公開することであり、エージェントに十分な情報に基づいた価格決定を可能にする上で特に重要である。
Information asymmetry	情報の非対称性
By and large insurance and reinsurance companies operate in environments where high quality precision signals about loss risks exist. For example, in the case of natural catastrophes, their frequencies are well known and established over many periods. Further, there are enough tail events to help construct reasonable approximations of extremes. When it comes to events regarding human interactions, such as crime, illness, death, or accidents, these are reported by statute to the relevant central authorities. This data is publicly available. In both these cases agents at all levels share the public signals and can condition their private expectations on good quality evidence. Of course, there may be variability in the accuracy of private expectations based on individual interpretation of the data or circumstances. This set-up allows the buyers of insurance the calculate their expected loss in a well informed manner and the insurance companies, based on the public information, can quote a premium. In turn the reinsurers share the same beliefs as no further information is available to them regarding the likelihood of the different states of nature.	保険会社や再保険会社の多くは、損害リスクに関する精度の高いシグナルが存在する環境で事業を展開している。例えば、自然災害の場合、その発生頻度はよく知られており、多くの期間にわたって確立されている。さらに、極限値の妥当な近似値を構築するのに役立つ十分なテール・イベントが存在する。犯罪、病気、死亡、事故など、人間の相互作用に関する出来事に関しては、これらは法令によって関連する中央当局に報告される。このデータは一般に公開されている。いずれの場合も、あらゆるレベルの主体が公的なシグナルを共有し、良質な証拠に基づいて私的な期待を条件づけることができる。もちろん、データや状況の個々の解釈に基づき、私的期待の精度にばらつきが生じる可能性はある。このセットアップにより、保険の買い手は十分な情報を得た上で予想損失を計算し、保険会社は公開情報に基づいて保険料を提示することができる。一方、再保険会社も、さまざまな自然現象の可能性に関してそれ以上の情報を得ることができないため、同じ考えを共有している。
When it comes to cyber-risk and cyber-insurance, the state of data curation and sharing is far more nascent than for other insurance perils and it is reasonable to argue that there is no high quality public signal to inform all agents’ priors. In the regulation of the aviation industry, it is standard to require reporting of ‘near misses’ so that lessons can be learnt and procedures updated to lessen the risk of future accidents. It is possible that this might be addressed by vendor telemetry—an insurer might have a series of recommended cyber-security solution providers that their clients could sign up for as part of their insurance package who would share data with the insurer. This raises potential issues of confidentiality.	サイバーリスクとサイバー保険に関しては、データの収集と共有の状況は他の保険危険の場合よりもはるかに初期段階にあり、すべての代理店の事前情報を提供する質の高い公的シグナルは存在しないと主張するのは妥当である。航空業界の規制では、「ニアミス」の報告を義務付けることが標準であり、これによって教訓を学び、手順を更新して将来の事故リスクを減らすことができる。保険会社は、保険パッケージの一部として顧客が契約できる一連の推奨サイバーセキュリティ・ソリューション・プロバイダーを用意し、そのプロバイダーは保険会社とデータを共有することができる。この場合、守秘義務の問題が生じる可能性がある。
Cyber-insurer loss experience	サイバー保険会社の損害経験
The United States National Association of Insurance Commissioners publishes an annual report on the cyber-insurance market derived from its Property/Casuality Annual Statement  [72]. Table 17 presents this information for the four years currently available. In 2018 and 2019, the data was presented separately for standalone and package policies but in 2020 and 2021 was presented for combined policies. We have adjusted for this to present the data on a consistent basis.	米国保険コミッショナー協会は、損害保険年次報告書[72]からサイバー保険市場に関する年次報告書を公表している。表 17 は、現在入手可能な 4 年間の情報を示している。2018 年と 2019 年は、単体保険とパッケージ保険に分けてデータを提示していたが、2020 年と 2021 年は複合保険に分けて提示している。一貫した基準でデータを提示するため、この点を調整した。
Table 17.	表17.
Cyber-insurer loss experience in the US market (†denotes weighted average by DWP).	米国市場におけるサイバー保険会社の損害実績（†DWP による加重平均を示す）。

Source: NAIC, Researcher calculations.	出典 NAIC、研究員の計算による
It is notable that the ransomware epidemic from 2020 to 2021 had a marked effect on experienced loss ratios for some insurers16. However, there are pockets of differentiation. For example, the Hartford Insurance Company specializes in insurance for smaller companies, creating a fairly well diversified portfolio of insurance contracts where the holders are unlikely to fall victim to sophisticated, targeted ransomware attacks given the potential revenue available. For these companies, basic defences and security software should help mitigate against losses. Figure 7 plots the losses experienced in the underwriting year versus the premium written and a linear trend line with intercept fixed at 0. The slope of the fitted trend line is then the loss ratio. The average loss ratio remained fairly stable across the two years, but it is striking that less than 30% of premia received was, on average, retained by the underwriting insurer. The aforementioned NAIC report states that some 50% of premia for cyber-insurance was ceded to the reinsurance market. There is some evidence to support the premise of a disconnect between expected and experienced losses in cyber-insurance pricing. Woods et al. (2021)  [62] develop a distribution of cyber-losses based on insurance company filings in the USA. They note that their model significantly underpredicts losses in relation to ex post losses reported in other literature. The underpricing of premia implies that either Insurers believe they can diversify loss risk. Customers were not willing to pay the technical premium and insurers are pursuing a ‘loss-leader’ strategy.	2020年から2021年にかけて流行したランサムウェアが、一部の保険会社の損害率に顕著な影響を与えたことは注目に値する16。しかし、差別化を図っているところもある。例えば、ハートフォード保険会社は中小企業向けの保険に特化しており、かなり分散された保険契約のポートフォリオを構築している。このような保険契約では、潜在的な収益が見込めることから、保有者が巧妙な標的型ランサムウェア攻撃の被害に遭う可能性は低い。こうした企業にとっては、基本的な防御策とセキュリティ・ソフトウェアが損失を軽減するのに役立つはずだ。図7 は、保険引受年度に発生した損害と収入保険料をプロットしたもので、切片を0 に固定した一次傾向線を用いている。平均的な損害率は2年間を通じてかなり安定しているが、保険料の30％以下しか引受保険会社に留保されていないことは注目に値する。前述のNAIC のレポートによれば、サイバー保険の保険料の約50% は再保険市場に出されている。サイバー保険の価格設定において、予想損害額と経験損害額が乖離しているという前提を裏付ける証拠もある。Woodsら（2021）[62]は、米国の保険会社の届出に基づいてサイバー損害の分布を作成している。彼らは、他の文献で報告されている事後損失と比較して、彼らのモデルが著しく損失を過小評価していることに注目している。保険料の割安感は、保険会社が損害リスクを分散できると考えていることを示唆している。顧客はテクニカル・プレミアムを支払うことを望まず、保険会社は「ロス・リーダー」戦略を追求している。
Figure 7.	図7.保険料
US cyber-insurer losses vs premium written.	米国のサイバー保険会社の損害額と収入保険料の比較。
The entry of Arch Insurance also merits comment. Arch insurance provides capacity17 to a relatively new managing general agent, Coalition Inc., providing ‘active cyber-insurance’. Active cyber-insurance is a relatively new product, which merges the roles of an outsourced security provider and a traditional cyber-insurer. This reduces some of the risks of asymmetric information transfer associated with cyber-insurance from the perspective of the insurer. The trade-off between cyber-insurance and security investment has been modelled by Mazzoccoli and Naldi (2020)  [74] and Skeoch (2022)  [75].	アーチ・インシュアランスの参入も注目に値する。アーチ・インシュアランスは、「アクティブ・サイバー保険」を提供する比較的新しいマネージング・ゼネラ ル・エージェント、Coalition Inc.にキャパシティ17をプロバイダとして提供している。アクティブ・サイバー保険は比較的新しい商品であり、アウトソーシング・セキュリティ・プロバイダーと従来のサイバー保険会社の役割を融合させたものである。これにより、保険会社から見たサイバー保険に関連する情報の非対称性移転のリスクをある程度軽減することができる。サイバー保険とセキュリティ投資のトレードオフは、Mazzoccoli and Naldi (2020) [74]とSkeoch (2022) [75]によってモデル化されている。
Comparison to simulated results	シミュレーション結果との比較
Comparing the experienced losses by insurance companies, our assumption regarding the adoption by reinsurance firms of their own private distributions for both severity and frequency of successful cyber-incidents and subsequent losses at this stage of development of this nascent market seems well-grounded on the available evidence.	保険会社が経験した損害と比較すると、この黎明期の市場の発展段階において、再保険会社が、成功したサイバーインシデントとその後の損害の重大性と頻度の両方について、彼ら独自の分布を採用するという我々の仮定は、利用可能な証拠に十分根拠があるように思われる。
The evolution of proportional losses across 15 major insurance companies over the period 2018–2021 presented in Table 17 reveals a somewhat unstable path. Both the average loss and its distribution exhibits both wide variability and an increasing trend. Specifically in 2018, average losses were 25.3% of the premia collected and this measure has monotonically increased to 68.3% by 2021. At the same time the maximum losses have more than doubled from 57% to 130% by 2021. The cross-sectional standard deviations exhibit the same monotonic trended pattern.	表17に示された2018年から2021年にかけての主要保険会社15社の比例損害の推移を見ると、やや不安定な経路をたどっていることがわかる。平均損害額とその分布は、大きな変動と増加傾向の両方を示している。具体的には、2018年の平均損害額は徴収保険料の25.3％であり、この指標は単調に増加し、2021年には68.3％となった。同時に、最大損失率は57%から2021年までに130%へと倍以上に増加している。クロスセクションの標準偏差も同じ単調な傾向のパターンを示している。
Attempting to fit a log-normal distribution over the whole period for the companies in the sample using the same methodology for fitting such distributions in the simulations shows that the kernel18 of the empirical distribution deviates significantly from the normal and reveals slight bimodality (Fig. 8). It is also notable that the fitted distributions underestimates the tail of large losses, which is arguably a significant consideration for reinsurance companies.	シミュレーションでこのような分布を当てはめたのと同じ方法を用いて、サンプルに含まれる企業について全期間にわたる対数正規分布の当てはめを試みると、経験分布のkernel18が正規分布から大きく逸脱し、わずかな二峰性が明らかになった（図8）。フ ィッティングされた分布はフ ィッティングされた分布はフ ィッティングされた分布フ ィッティングされた分布フ ィッティングされた分布はフ ィッティングされた分布はフ ィッティングされた分布はフ ィッティングされた分布
Figure 8.	図8.
Epanechnikov kernel versus fitted log-normal distribution for NAIC reported cyber-insurance loss ratios, 2018–2021.	NAICが報告したサイバー保険損害率のエパネチコフカーネルと適合対数正規分布（2018-2021年）。
Faced with such movements of the cross sectional distributions, meaningful aggregation of the losses experienced by individual insurance companies does not seem effective. In the light of this (admittedly cursory) review of the statistical evidence presented in this paper, Assumption 4 in Introducing reinsurance seems justified.	このような横断的な分布の動きに直面すると、個々の保険会社が経験した損失を集計することは有効でないように思われる。本稿で提示した統計的証拠を（確かにざっとではあるが）検討すると、再保険導入の前提4は正当化されるように思われる。
Loss transparency	損害の透明性
We consider what happens if agents only selectively claim on losses from an insurer. In an insurance analysis, it is usually assumed that every agent is aware of the incidents they experience. This is a reasonable assumption for some categories of cyber-incidents, such as ransomware, although other cyber-incidents such as data breaches might not be detected until some time after the event. Agents report some incidents to an insurer and thus a claim is made; some incidents go undisclosed (in insurance, this is known as IBNR—incurred but not reported). More formally, at time t, the agent may be aware of the indicent and its damage so the state of the world in which the incident occurs, s is known to them. The agent might inform the insurer about the state so the insurance knowledge of the state s is conditional on the revelation of the agent. Now, the insurer knows that their distribution is not the objective one but only a partial revelation due to the agents selectively choosing to report losses. The insurer then tries to approximate the objective distribution but it will be with error. In the event that reinsurers know that different insurers have different approximations of the true distribution, they will use some kind of averaging across these approximations to quote reinsurance premiums. The results are:	代理店が保険会社に対して選択的にしか損害賠償請求を行わない場合、何が起こるかを考察する。保険分析では通常、すべての代理店が経験したインシデントを把握していると仮定する。これは、ランサムウェアのようないくつかのカテゴリーのサイバーインシデントについては妥当な仮定であるが、データ漏洩のような他のサイバーインシデントについては、インシデント発生後しばらく経たないと検知されない可能性がある。代理店はいくつかのインシデントを保険会社に報告し、それによって保険金請求が行われる。より正式には、時点tにおいて、代理店はインシデントとその損害を認識している可能性があり、インシデントが発生した世界の状態sは代理店にとって既知である。エージェントは保険会社に状態を知らせるかもしれないので、状態sに関する保険知識はエージェントの暴露を条件とする。今、保険者は、代理店が選択的に損失を報告することを選択するため、彼らの分布が客観的なものではなく、部分的な啓示にすぎないことを知っている。保険者は客観的分布を近似しようとするが、誤差が生じる。再保険者は、保険者によって真の分布の近似値が異なることを知っている場合、再保険料の見積もりには、これらの近似値を平均化したものを使用する。結果はこうなる：
・No insurer is offered a fair premium given their approximation of the true distribution.	・どの保険者も、真の分布の近似値を考慮した上で、公正な保険料を提示しない。
・No agent is offered a fair premium as the insurance offer is based on a distribution different to their own.	・どの代理店も、自分たちの分布とは異なる分布に基づいて保険料を提示されるため、公正な保険料を提示されない。
・Objectively measured data is absent at all levels because reporting is a choice.	・客観的に測定されたデータがすべてのレベルで存在しない。
Consistency of reference	リファレンスの一貫性
There is a significant problem with the standard actuarial modelling cycle approach to cyber-insurance: the evolution of systems over time, which is quite unique in its complexity in relation to other perils. Calibration of models using events such as WannaCry have poor future predictive power as the security vulnerabilities it exploited have been patched, Windows XP is less widespread than it was and the operating systems that replaced it have better, though of course not perfect, security by design. In economics, this can be couched in clients’ Bayesian updating of their distributions; they do not and cannot observe incidents of other clients (other than indirectly via media reports) so there is no need to converge to a stationary distribution at the client level. The consequence of this is that the insurers and reinsurers may have a better understanding of the fair price of risk, but buyers do not share the same concern and thus are not willing to pay the demanded premium for the insurance.	サイバー保険に対する標準的な保険数理モデリング・サイクルのアプローチには大きな問題がある。WannaCryのような事象を利用したモデルのキャリブレーションは、将来の予測力に乏しい。なぜなら、WannaCryが悪用したセキュリティ脆弱性にはパッチが適用され、Windows XPの普及率は以前より低下し、それに取って代わったオペレーティングシステムは、もちろん完全ではないが、設計上のセキュリティが向上しているからである。経済学でいえば、これは顧客によるベイズ的な分布の更新に置き換えることができる。顧客は他の顧客のインシデントを（メディアの報道を介した間接的なもの以外には）観察しないし、観察することもできないので、顧客レベルで定常分布に収束させる必要はない。この結果、保険会社や再保険会社はリスクの適正価格についてよりよく理解しているかもしれないが、買い手は同じ懸念を共有していないため、保険のために要求された保険料を支払おうとしないのである。
Supply and demand	需要と供給
In the insurance industry, it is common to describe the state of the market as ‘hard’ or ‘soft’. In a soft market, supply exceeds demand placing downward pressure on premium, whereas in a hard market the converse is true. Often the experience of losses in a particular class of business will result in a market hardening. This has important implications for the pricing of cyber-insurance by a vendor. In a soft market, the insurer must charge the lowest premium it can actuarially justify to build market share. In a hard market, the insurer should charge the highest realistic premium possible. If the market were efficient, it would converge to some form of equilibrium but if not it may swing between financial imbalances. There is evidence that in the early stages of the cyber-insurance industry, some insurers operated a very experimental approach to pricing. Woods (2023)  [77] provides an account of one large US insurer, AIG, whose Chief Operating Officer admitted that their early cyber-insurance models were a ‘complete guess’. The same insurer then suffered loss ratios of 100% and 130% in 2020 and 2021, respectively (Table 17), suggesting that even if refined and updated, the pricing models may have underestimated the claim frequency or severity.	保険業界では、市場の状態を「ハード」または「ソフト」と表現するのが一般的である。ソフトな市場では供給が需要を上回り、保険料に下落圧力がかかるが、ハードな市場ではその逆となる。多くの場合、特定のクラスの事業で損害が発生すると、市場は硬直化する。このことは、ベンダーによるサイバー保険の価格設定に重要な意味を持つ。ソフトマーケットにおいては、保険会社は市場シェアを拡大するために、保険数理上正当化できる最低の保険料を請求しなければならない。ハードマーケットにおいては、保険者は現実的に可能な限り高い保険料を請求すべきである。市場が効率的であれば、何らかの形で均衡に収束するだろうが、そうでない場合は、財政的不均衡の間で揺れ動く可能性がある。サイバー保険業界の初期段階において、一部の保険会社が非常に実験的なアプローチで保険料設定を行っていたという証拠がある。Woods(2023)[77]は、米国の大手保険会社であるAIGのチーフ・オペレーティング・オフィサーが、初期のサイバー保険モデルは「完全な推測」であったと認めていることを紹介している。この保険会社はその後、2020年と2021年にそれぞれ100%と130%の損害率に見舞われた（表17）。このことは、たとえ精緻化され更新されたとしても、プライシング・モデルがクレーム頻度や重大性を過小評価していた可能性を示唆している。
Further work	今後の検討
We have considered simulations in which losses are uncorrelated. An interesting next step would be to consider the correlation of losses and implement the modeling strategy presented in this paper using more complex loss-generating functions, such as those reviewed in Actuarial models, than the simple joint distributions of severity and frequency used in this paper. It would also be instructive to compare the results of simulations of distributions proposed by Eling et al. (2019)  [32] and Woods et al. (2021)  [62], with insurer loss data. Claims data is deeply confidential to insurance companies, however, so the results of such analysis would unlikely be able to be widely disseminated unless extensively anonymized.	我々は、損害が無相関である場合のシミュレーションを検討した。次のステップとして、損害の相関性を考慮し、本稿で使用した重大度と頻度の単純な結合分布よりも、アクチュアリーモデルで検討されているような、より複雑な損害生成関数を使用して、本稿で示したモデル化戦略を実施することが興味深い。Elingら（2019）[32]やWoodsら（2021）[62]が提案した分布のシミュレーション結果を保険会社の損害データと比較することも有益であろう。しかし、保険金請求データは保険会社にとって深い機密事項であるため、このような分析結果は、広範囲に匿名化されない限り、広く普及することはないだろう。
In the simulations, we focused on the supply dynamics of insurance and in particular the interaction between insurers and reinsurers. The model provides for consideration of buyer preferences, which at this stage we have explored only briefly in the first simulation to illustrate how buyer utility can affect coverage. A further piece of work would be to explore the price sensitivity of buyers of insurance coverage and how these preferences propagate through the information chain to reinsurers. The model simulations considered only a small number of market participants; with a more complex set of interactions, it may be possible to attempt to determine the optimal market size by introducing appropriate constraints and incentives. A further addition might be to consider multiple reinsurers with different risk tolerances; however, this would add considerable complexity to the model and is outside the scope of the framework introduced in this paper.	シミュレーションでは、保険の供給ダイナミクス、特に保険会社と再保険会社の相互作用に焦点を当てた。このモデルには買い手の選好を考慮するためのプロバイダが用意されているが、現段階では、買い手の効用が補償にどのような影響を与え得るかを説明するために、最初のシミュレーションで簡単に検討したに過ぎない。さらなる課題としては、保険の買い手の価格感応度や、こうした選好が情報の連鎖を通じてどのように再保険者に伝播するかを検討することであろう。モデル・シミュレーションでは、少数の市場参加者のみを考慮した。より複雑な相互作用があれば、適切な制約とインセンティブを導入することによって、最適な市場規模を決定する試みが可能かもしれない。さらに、リスク許容度の異なる複数の再保険者を考慮することも考えられるが、これはモデルをかなり複雑にするものであり、本稿で紹介した枠組みの範囲外である。
Conclusions	結論
This paper has developed an artificial yet realistically structured model of the cyber-insurance market considering all three levels of agent interactions. The model incorporates the demand choices of the consumers/buyers of cyber-insurance, their suppliers—insurance companies offering contracts—and reinsurance companies providing additional underwriting capacity.	本稿では、3 つのレベルのエージェントの相互作用をすべて考慮した、人工的でありながら現実的な構造のサイバー保険市場モデルを開発した。このモデルには、サイバー保険の消費者／買い手、その供給者である契約を提供する保険会社、追加の引受能力を提供する再保険会社の需要選択が組み込まれている。
The extent to which an insurance market facilitates smooth risk transfer is linked to the sharing of information by participants regarding the distribution of losses. We argue that this condition is very unlikely to hold in the cyber-insurance market. Disagreements on loss expectations means that cyber-insurance contact pricing will be considered inefficient at both the retail and wholesale levels, leading to lower societal benefit. The purpose of this paper was to quantify such inefficiency within the confines of a three-tier market under miscellaneous types of disagreements in loss expectations among the participants at each tier.	保険市場が円滑なリスク移転をどの程度促進するかは、損害の分配に関する参加者の情報共有と関連している。我々は、この条件がサイバー保険市場で成立する可能性は極めて低いと主張する。損害予想に関する意見の相違は、サイバー保険のコンタクト・プライシングがリテール、ホールセール両レベルで非効率的とみなされ、社会的便益の低下につながることを意味する。本稿の目的は、3 層市場の範囲内で、各層の参加者間で損害予想に様々なタイプの不一致がある場合に、そのような非効率性を定量化することである。
To establish a benchmark to gauge the extent of inefficiency, we have simulated a simple market where all agents share a distribution of losses based on two loss frequencies. From this simulation, we obtained the ‘efficient’ measures of reinsurance premium and the proportional participation of reinsurers. We found that simulated loss reduction to the insurers is almost identical to the cost of reinsurance (bar small statistical errors), as expected. This case represents the economically efficient market outcome.	非効率性の程度を測るベンチマークを確立するために、すべてのエージェントが2つの損失頻度に基づく損失分布を共有する単純な市場をシミュレートした。このシミュレーションから、再保険料と再保険者の参加比率の「効率的」指標を求めた。その結果、シミュレートされた保険者の損害削減額は、（統計的な小さな誤差を除けば）予想通り再保険のコストとほぼ同じであることが分かった。このケースは経済的に効率的な市場の結果を代表するものである。
Maintaining all the behavioural parameters from the first simulation, we then proceeded to compute expected losses and reinsurance premiums based on diverse distributions held by insurance companies and reinsurers. Both insurers and reinsurers independently price premiums to meet target loss ratios based on distinct and subjective distributions. Under conditions where losses are close to the modal simulated value, insurers are typically not incentivized to buy reinsurance. However, when considering relatively extreme losses under a ‘stress test’ type scenario, the value of reinsurance emerges to some insurers whose distributions are relatively heavy tailed in comparison to others. For such insurers, the upfront cost of such reinsurance is justified by the avoidance of ruin under high loss scenarios.	最初のシミュレーションの行動パラメータをすべて維持したまま、保険会社と再保険会社が保有する多様な分布に基づいて予想損害額と再保険料を計算した。保険会社も再保険会社も、それぞれ独立した主観的な分布に基づき、目標とする損害率を満たすように保険料の値付けを行う。損害がモーダル・シミュレーション値に近い条件下では、保険者は通常、再保険を購入するインセンティブを持たない。しかし、"ストレステスト "タイプのシナリオで比較的極端な損失を考慮した場合、再保険の価値は、分布が他の保険者に比べて相対的にヘビーテイルである一部の保険者に現れる。そのような保険者にとっては、再保険の前払いコストは、高い損害シナリオの下で破たんを回避することによって正当化される。
Even within the confines of this simple example, the divergence in distributions, expectations, and objectives demonstrates that efficient pricing is hard to achieve. It should be noted that whilst there are specialists in cyber-insurance operating within the reinsurance market, cyber-insurance itself competes with other lines of insurance for allocation of specialty reinsurance capital. Based on this, we used a uniform cost of reinsurance in the second of our two simulations. This is the outcome of the reinsurer holding a private loss distribution. This condition may reduce the reinsurance capital allocated to cyber-insurance. It is notable that, according to industry sources  [2], there are only a limited range of nonproportional reinsurance structures available to the cyber-insurance market; in other words, the vast majority of written reinsurance is quota share. This implies significant uncertainty among tail risks by reinsurers at the present time.	この単純な例の範囲内であっても、配分、期待、目的の乖離は、効率的なプライシングが難しいことを示している。再保険市場にはサイバー保険のスペシャリストが存在する一方で、サイバー保険自体も他の保険種目と特殊な再保険資本の配分を巡って競合していることに留意すべきである。これに基づき、2 回のシミュレーションのうち 2 回目では、一律の再保険コストを用いた。これは、再保険者が私的な損害分配を保有した場合の結果である。この条件は、サイバー保険に割り当てられる再保険資本を減少させる可能性がある。業界筋の情報[2] によれば、サイバー保険市場で利用可能な非比例再保険の仕組みは限られており、言い換えれば、再保険の大半はクオータシェアである。つまり、再保険の大半はクオータシェアである。このことは、現時点では再保険者によるテールリスクの不確実性が大きいことを意味している。
Our findings suggest that the cyber-insurance market will continue to face potential financial imbalances. That is, it will be highly profitable for some participants and costly for others. This is already evident in data on cyber-insurer loss data (Table 17). There has been considerable progress in the academic literature on theoretical modelling of cyber-losses and on empirical analysis. However, access to reliable and transparent data remains a problem for researchers as insurance claims data is confidential and highly guarded. Kasper (2019)  [78] has developed a model for evaluating the feasibility of cyber-catastrophe bonds, while more recently Braun et al. (2023)  [79] have noted that an insurance-linked securities market to support cyber-insurance may struggle to develop without better cyber-modelling. It is likely that this will be a high priority for the market, based on an extensive report by the Geneva Association (2023)  [7]. There have been some efforts in the literature to move towards improving cyber-modelling specifically from an insurance perspective, such as Woods et al. (2021)  [62] and Kasper and Grossklags (2022)  [80]. As the literature develops, the model introduced in this paper may provide a convenient framework for evaluating more intricate distributions than the standard ones used for the simulations in this paper. Without a means of accessing reliable data on cyber-losses, insurance buyers will have to continue to form highly subjective probability distributions. In a recent paper, Bajoori et al. (2022)  [81] argue for the creation of an official registry of cyber-security experts with a duty to report, which has also been proposed by the UK Government19. Such public data might allow for the creation of distributions of cyber-losses and help contribute to reducing information asymmetries.	我々の調査結果は、サイバー保険市場が今後も潜在的な財政不均衡に直面することを示唆している。つまり、一部の参加者にとっては収益性が高く、他の参加者にとってはコストがかかるということである。このことは、サイバー保険会社の損害データ（表 17）を見ればすでに明らかである。サイバー損害の理論的モデリングや実証分析に関する学術的な文献はかなり進歩している。ー保険金請求データはー保険金請求データはー保険金請求データはー Kasper（2019）[78]は、サイバー災害債券の実現可能性を評価するためのモデルを開発したが、より最近では、Braunら（2023）[79]は、サイバー保険を支援する保険リンク証券市場は、より優れたサイバー・モデリングなしには発展するのに苦労するかもしれないと指摘している。 Woodsら（2021）[62]やKasper and Grossklags（2022）[80]のように、特に保険の観点からサイバー・モデリングの改善に向けた取り組みが文献の中でなされている。文献が発展するにつれて、本稿で紹介したモデルは、本稿のシミュレーションに使用した標準分布よりも複雑な分布を評価するための便利なフレームワークを提供するかもしれない。サイバー損害に関する信頼できるデータにアクセスする手段がなければ、保険購入者は極めて主観的な確率分布を形成し続けなければならない。最近の論文で、Bajoori et al. (2022) [81]は、報告義務を負うサイバーセキュリティ専門家の公式登録簿の創設を主張しており、これは英国政府も提案している19。このような公開データは、サイバー損害の分布を作成することを可能にし、情報の非対称性の低減に貢献し、情報の非対称性の解消に貢献するかもしれない。
The cyber-insurance market is still at as stage of relative infancy. The current institutional setup does not appear fully conducive to the delivery of efficient market outcomes at this juncture. Achieving efficiency requires commonly held beliefs and stationary loss distributions. Whether such conditions can be achieved and maintained is questionable given the dynamic nature of cyber-threats. Our provisional conclusions are that the most likely market structure will involve firms specializing in particular insurance contracts covering different ranges of loss limits, with varying access to reinsurance based on these contracts. The overall outcome will be that the capital capacity of this market will be below its optimal size under shared informational conditions.	サイバー保険市場はまだ比較的未成熟な段階にある。現在の機構は、現時点では、効率的な市場成果を実現するのに十分ではないように思われる。効率性を達成するためには、一般的に信じられている信念と定常的な損害分布が必要である。サイバー脅威のダイナミックな性質を考えると、そのような条件を達成し、維持できるかどうかは疑問である。我々の暫定的な結論としては、最も可能性の高い市場構造は、異なる範囲の損害限度額をカバーする特定の保険契約に特化した企業が、これらの契約に基づく再保険へのアクセスを変化させるというものである。全体的な結果としては、情報共有条件のもとでは、この市場の資本能力は最適規模を下回ることになる。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.23 ENISA サイバー保険 - モデルと手法、AIの活用

・2023.03.03 ENISA EUにおけるサイバー保険の需要サイド (2023.02.23)

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇？

・2021.02.16 ニューヨーク州金融サービス局（NYDFS）サイバー保険リスクフレームワーク （保険通達2021年第2号）at 2021.02.04