（2020年7月8日にマリンネット会員様限定のライブ対談としてお送りした内容を掲載しています。）

谷繁：皆さんこんにちは。マリンネットの谷繁です。

本日はお忙しい中、「～マリンネットウェビナー～P&Iから見た船舶サイバーセキュリティを取り巻く環境」と題して、前回1回目に引き続き日本海事協会事業開発本部 海技部部長 斎藤様にいらして頂いてます。

それに加え本日は、日本船主責任相互保険組合（Japan P&I Club）ロスプリベンション推進部　マネージャー　日野様をお迎えして、この三人で船舶サイバーセキュリティについて議論して行きたいと思います。

ClassNKの最新動向

谷繁：それでは、ClassNKの最新動向としまして、斎藤様からお話いただきます。

斎藤：まずは2本プレスリリースされたものからご紹介させて頂きたいと思います。1つ目は、昨年船舶におけるセキュリティデザインガイドラインとして出していたものを改訂し、第二版として発行させて頂きました。最大の特徴は、IACSが5月に公表した最新のサイバーセキュリティの推奨事項を使って、新造船に対する船級符号の付記、船舶に対してサイバーノーテーションを可能にした所が最大の特徴となっています。それから2つ目は、海事関係におけるサイバーセキュリティ情報の収集や分析についてMTS-ISACに加盟したことでございます。ISACとは各国で業界ごとにサイバーセキュリティの情報交換・分析を主とした団体です。こちらの海事版がアメリカに出来ました。要はISACメンバーのみにシェアされている海事関係のサイバーインシデントでありますとかサイバー攻撃情報を我々としては一早く入手し、皆様への情報提供や様々なサービス展開に繋げていけると考えております。

谷繁：ありがとうございます。ガイドラインは私も見させて頂きましたが、正直第一版は難しい記述が多かったものが、今回の第二版はかなりわかりやすい内容になったと感じました。ですが造船所・船主・検査をするNKさんなどノーテーション取得にはかなり負担がかかるという印象を持ちました。

斎藤：仰る通りですね。まず第一版が何故わかりにくかったのかと申しますと、造船段階に求める事項よりも前段の危機レベルを求める事項を盛り込んでしまったのが最大の原因で、それは今後発行予定のガイドラインに持っていこうとなりました。造船段階に絞って行くとしたのが今回です。わかりにくさの原因は他にもあって、対象が動的であること。どこまでの範囲と深さでサイバーセキュリティをすればいいのかというのが課題だったのですが、やるべき範囲は決まってきました。我々としてはその組み上げたものをどう検査するべきかがもう一声やらねばいけない所だと思っています。

P&Iクラブから見て心配される事象

谷繁：今日の本題であります。P&Iクラブのお立場でのサイバーセキュリティ対策に関して色々とお話を伺って行きたいと思います。あらためて、船舶における保険とはと考えた場合の、そもそもP&I保険とは何ぞやからお話を伺います。

日野：まずP&I保険とは、Protection & Indemnity保険のことで、船舶の所有者等が船舶の運航による事故等で負う賠償責任および費用をてん補するといった保険となっています。例えば、加入している船舶で油が海上に漏れてしまい、その油が漁業関係者に損害を与えてしまったといったような賠償責任をカバーする保険です。賠償責任については、青天井というわけでは無いですが、船舶保険とは違い、保険金は定め無しとなっています。またP＆I保険はMLC,CLCといった国際条約の関係もあり、事実上の強制保険となっています。

谷繁：船体保険との大きな違いとしては定額保険でないというところですよね。場合によっては船舶保険よりも大きくなるケースもあるわけですね。では、P&Iクラブの立場から見てサイバーセキュリティにおける心配事などについてお話ください。

日野：よくいわれていることですが、サイバーセキュリティとは幅広くて掴みどころのないものですが、船舶の安全運航が第一と考えます。そこを基本として考えますと、まず通信機器への影響が挙げられると思います。通信機器等が攻撃（サイバーアタック）されてしまうと、ECDISをUpdateできないといった不安全な航海につながると考えられます。また、米国寄港の際のNotice of Arrivalの通知不具合により、到着遅延による損害、過怠金などが発生する恐れも考えられます。次に、航海機器/推進器への影響が考えられます。通常の外航船であれば、大洋航海中は、オートパイロットに任せきりの状態や、夜間、機関室はMゼロ運転という状況がほとんどかと思います。そのような状態では何か外部から影響があった場合になかなか気づきにくい状況なのではないでしょうか。また沿岸航海では行きかう船舶も当然多くなりますし、浅瀬や障害物という危険も多くなります。何かサイバーアタックが原因となって、エラーが重なり海難リスクに繋がってしまう可能性があると心配しています。実際に起こった事件の英国判例で、ターミナルのシステムがハッキングされ、コンテナ2本が盗難されたというケースもあります。荷主とコンテナ船社で紛争となったこのケースでは、運送契約上、運送人であるコンテナ船社に責任があるとされ、船社に不利な判決が下される形で決着しました。サイバーセキュリティの怖いところは、早期発見という点で難しいところであり心配しているところです。

谷繁：非常に興味深いお話ありがとうございます。船そのものだけでなく船を取りまく環境も船主は気にしていかなければいけないと思いました。船舶のサイバーセキュリティは遅れている為、地上と海上で温度差があるように思います。サイバーアタックをされた場合に何があったのかの検証が出来るような体制をどのように構築していくのかというのが改めて思うところですね。

P&I保険でサイバーリスクはカバーされるのか？

日野：P&I保険のカバー範囲は、港湾施設損害/漁網・海産養殖施設損害/衝突損害･･･と色々ありますが、今P&I保険で最も費用が大きくなる損害の一つが船骸撤去です。環境意識の高まりやサルベージ技術の向上がありますが、環境面では良いものの、コスト面が大きくなってきています。また、船員さんの怪我、病気、それから貨物損害といったものをカバーしています。サイバーリスクはカバーされるのかという点ですが、そもそもサイバーリスクという言葉がP&I保険のルールの中に存在していません。ただし、ルールの中で「こういった場合には保険金をお支払いできません」という除外規定があります。（第35条にあたる）その除外規定にサイバーリスクを記載していないので、現時点において港湾施設損傷や衝突事故などがサイバーリスクによって発生した場合、通常通りP&I保険のカバーが発動することになります。ただ現在までにサイバーアタックが原因でP&I保険事故につながったという事例はまだありません。もしサイバーアタックが第35条にある「戦争」や「テロ行為」にあたるとてん補の対象外となります。

谷繁：正直定義が微妙ですよね。「戦争」とか「テロ行為」にしても「サイバーテロ」という言葉もあるぐらいですし、戦争なのかそうでないかをはっきりできるのかどうか。船舶保険でもそうなんでしょうけど、これまでの戦争行為というのは地理的にどこで起きているのかハッキリしていましたが、サイバーテロというのは地理的な制約がありません。世界中どこにでもあり得るという点が今後も議論すべき点になってくるでしょうね。

日野：P&I保険事故だとご連絡頂いても、実は本当の原因はサイバーアタックだったという事も現に起こっているかもしれませんし、非常に難しいことだなと考えています。次に具体例を挙げていきましょう。「夜間航行中にECDIS4台とレーダー3台が同時にシャットダウンしてしまった」こちらは実際の船長さんの体験談なのですが、仮にこれがサイバーアタックによるもので航海機器が壊れた事が原因となって、浅瀬に座礁して油が漏れてしまった、というような場合に、このサイバーアタックが「戦争」や「テロ行為」といったものに該当しなければ、油濁損害などのP&I保険のカバー対象になります。また、もし座礁して本船の損傷が非常に酷く、本船をスクラップにし船骸撤去ということになれば、船骸撤去費用は、P&I保険のカバーとなります。2つ目の具体例は、「本船PCがウイルス感染しデータ・機密情報が外部に漏洩した」というものですが、この場合の罰則や賠償金は、P&I保険のてん補の対象とはなりません。

船主として今後注意して行く点

谷繁：船主として今後どのようなことに注意して行くべきだとお考えですか？

日野：ご加入頂いている皆様は当たり前のように実施されている事ですが、ルール上加入船舶においては船級の維持とISMコードの維持が条件となっております。IMOのサイバーセキュリティマネジメントのガイドラインは非強制だと理解していますが、旗国によって色々対応が違うこともありますので是非船級ともご相談の上、対応して頂きたいと思います。ただ現実的にはPSCやオイルメジャー、ライトシップといった外部監査もサイバーセキュリティに関して本船に対して指摘事項を出しています。

谷繁：ありがとうございます。1つ質問を頂いておりまして、将来サイバーセキュリティの定義が堪航性とみなされて保険料が変わる可能性はありますでしょうか？という質問です。

日野：そうですね。捉え方が正しいか分かりませんが、サイバーレジスタンスといったものも堪航性と考えられる、そういった時代に向かっているのは間違いないと私自身は思っています。自動運航化への取組の話もありますし、今はもうECDISで航海計画をプランニングするという時代で、本船でECDISの健全性を確保していかないとサイバー不堪航である、ということが今後何年か先に言われてしまうということも考えられます。そういう事故が多くなれば、当然P&I保険としての事故の傾向を見ながら保険料を上げていかないといけない状況になることも考えられます。

谷繁：サイバーによる事故によりP＆I保険の負担が増えてくるとメンバーさんに保険料で負担してもらう、そういう流れですよね。先程の流れからもう一つ質問来ていますが、傭船契約上の条件になることを船主として心配しているという件ですが。

日野：傭船契約は、契約当事者間の決め事なので出来る限りサイバーセキュリティ条項を取り入れないようにすることで一時的には回避することは出来るかもしれません。ただ時代の流れとして船級においてもサイバーレジスタンスの符号が付き始めているので、なかなか避けては通れなくなるかもしれません。

谷繁：斎藤さんからもご指摘があった通り完璧は無いと思うんですよね。ただ何もしないでいるということが罪になってくることになりそうです。

斎藤：我々もこの対策を考えていく中で、やはり船舶でのサイバー攻撃とは見えていないだけで、実際事故に至るまであるかも知れないけど気づいていない。それが見えないとなかなか対策に繋がらないと思うんですね。我々ガイドラインやノーテーションを作っておりますが、やはり事故事例の収集というのは重要だと思っていて、その点ではP&Iクラブさんや船舶保険の皆さんと船級で事故事例の収集・対策を連携していかないといけないんじゃないかなと考えています。

日野：全くの同感でございます。

谷繁：時間が来ましたので今回はこの辺に致します。斎藤さん、日野さん本日はありがとうございました。またお願いしたいと思いますので宜しくお願いします。