すべてのP&C保険会社がデータ保護とプライバシーについて知っておくべきこと
2018年、データ侵害は世界中で大きなニュースになりました。 T-Mobile、Quora、Google、Orbitz、Facebookなどの企業が影響を受け、何百万人もの人々の個人情報が流出しました。
データ保護とプライバシーは、今日のハイパーコネクテッドな世界では深刻な問題であり、多くの州議会で中心的な役割を果たしています。 データセキュリティのリスクと課題は、損害保険分野の企業、代理店、ブローカーにとって最大の懸念事項であるべきです。
保険データのセキュリティとプライバシーにおける最重要課題
データのセキュリティ、保護、プライバシーに関する問題は日々生じています。 これらの攻撃の原因は何で、どうすれば攻撃を阻止できるのでしょうか?
「データ侵害は、さまざまな理由で発生する可能性があります。ハッキングされた企業もあります。データは誤って取り扱われたり、第三者に販売されたりする可能性があります。ウェブサイトのセキュリティシステムに穴が開いていると、情報が保護されないままになる可能性があります」とBusiness Insiderの ペイジ・レスキン は言います。
企業は、顧客データとビジネスデータを保護しながら、コミュニケーションをシンプルで誰もが利用できるようにするという、常に差し迫ったニーズに直面しています。 2018年は、多くの州がこの課題に対処するために積極的な規制措置を講じた最初の年となりました。 保険データセキュリティ法が施行されるにつれ、保険会社にとってそのような法律をめぐる問題はより複雑になります。
パッチワーク規制
保険会社が直面している最大の問題の1つは、さまざまな州で一貫したデータセキュリティとプライバシー要件が欠如していることです。
データ保護とプライバシーの懸念に対する国家の対応は、パッチワークのように現れています。 現在、全50州でデータ侵害通知法が制定されていますが、大半の州は保険業界でのサイバーセキュリティに特化して取り組んでいないと、Lewis Brisbois Bisgaard & Smith LLPの弁護士である Bindu Nair氏とSean B. Hoar氏は述べています。
例えば、カリフォルニア州のデータプライバシー法により、消費者は自分の個人データをかつてないほど管理できるようになり、同州で事業を展開する保険会社にとって課題と機会の両方をもたらしていると、Insurance Journalの Don Jergler 氏は述べています。
これらの法律は現在州によって異なりますが、全国的なデータ侵害法の考え方は、米国財務省によって承認されているとNair氏とHoar氏は述べています。
データ保護コスト
データ保護規制の変更は、特に自動車保険の加入数の減少と物的損害賠償請求の増加という2つの課題にすでに直面している損害保険会社にとって、コスト上の懸念にもつながっています。
「実際の影響は、コンプライアンスのコストが大幅に膨らむことです。これは、金融機関の現在の予算に含まれていない可能性があります」と、サイバー賠償責任の専門家である リチャード・フェルナンデス氏は予測しています。
この費用には、最近制定されたいくつかの州法で義務付けられているサイバーセキュリティとコンプライアンスに専念するスタッフの必要性が含まれます。 顧客データの侵害に関する民事訴訟について、さまざまな裁判所がさまざまな判決を下しているため、保険会社もますます複雑化する法的状況に直面していると、弁護士の キンバリー・ホーン氏は述べています。
データセキュリティに関する各国の行動
保険データのセキュリティに対する連邦政府の統一された対応がないため、米国の州はこの問題自体を規制し始めています。 ニューヨーク州とロードアイランド州では、保険のデータ保護とプライバシーに関する規則が制定され、サウスカロライナ州、ミシガン州、オハイオ州では2018年にモデル法が採択されました。
ジョージア州、イリノイ州、ケンタッキー州、メリーランド州、バージニア州など、その他の州でも保険データセキュリティ法が検討されています。 このような州主導の変更により、地元の損害保険会社はますます複雑化する規制状況に立ち向かう必要があると、PropertyCasualty360の Christopher M. Brubaker 氏は述べています。
ニューヨーク州
ニューヨーク州は、保険に特化したデータ保護規制への道を開きました。 同州の金融サービス局(DFS)は、2017年にサイバーセキュリティ規制を実施しました。 保険会社は、データアクセスに多要素認証を実装し、サイバーセキュリティインシデントを72時間以内に報告することを義務付けました。 また、最高情報セキュリティ責任者(CISO)という形でのガバナンスと説明責任に関する追加の要件も含まれていたと、CCSIのマネージングディレクターである Larry Bianculli氏は述べています。
2017年後半に発表されたNAIC保険データセキュリティモデル法は、ニューヨーク州の規制に基づいています。 いくつかの州ではモデル法を全面的に採用していますが、他の州ではモデル法の規定の一部を制定する法案を検討しています。
サウスカロライナ州
サウスカロライナ州は、2018年5月にNAIC保険データセキュリティ法を採択した最初の州となり、話題になりました。
サウスカロライナ州の法律では、サウスカロライナ州の保険法に基づいて認可を受けた個人と企業の両方に、データセキュリティに関する新しい要件を満たすことが義務付けられています。 この法律の中心となるのは、包括的な書面による情報セキュリティプログラム(WISP)を作成することが義務付けられていることだと、Alston & Birdの弁護士である Nameir Abbas氏は述べています。
データ侵害が発生した場合、保険会社は事象を調査し、その性質と範囲を評価し、侵害された情報を特定し、「侵害された情報のセキュリティを回復するための合理的な措置を講じる」必要があると、White & Williams LLPの Joshua Mooney氏、Richard Borden氏、Sedgwick Jeanite 氏は述べています。 保険会社はまた、特定のイベントを州の保険部門に報告する必要があります。
ミシガン州とオハイオ州
ミシガン州とオハイオ州も2018年12月に保険データセキュリティ法を制定し、NAIC保険データセキュリティモデル法を採用しました。 新しい法律は、それぞれの州の保険部門によって認可された個人または企業に適用されます。
ミシガン州の法律には、同州のID盗難防止法のいくつかの条項も組み込まれていると、Alston & Birdの弁護士でサイバーセキュリティ対応チームのメンバーである Kate Hanniford氏は述べています。
オハイオ州の法律は、オハイオ州で事業を行う保険会社、代理店、ブローカーのみを対象としています。 「オハイオ州外に居住する再保険会社、リスク保持グループ、他の州で認可・認可された購買グループは、本法から除外されます」と、シドリーの弁護士兼パートナーである エドワード・R・マクニコラス氏とトーマス・D・カニンガム氏は述べています。
保険データセキュリティモデル法の理解
NAIC 保険データセキュリティモデル法 は、「保険会社に完全なサイバーセキュリティプログラムの運用を要求する法的枠組みを確立するものです」と、RSMのセキュリティ、プライバシー、リスクディレクターである Matt Franko氏は述べています。 このフレームワークは、サイバーセキュリティのテストや取締役会の監視から、インシデント対応計画や違反通知手順まで、幅広いデータセキュリティの問題をカバーしています。
モデル法はすでにいくつかの州で採用されており、他の州議会でも検討されています。 その人気は、P&C保険会社、代理店、ブローカーが検討する価値があります。
この法律を定義する注目すべき3つの条項は、 アンドレアス・カイツォニスとシェイ・M・リーチ、ベーカー・ホステトラーの弁護士は言います。 まず、モデル法は、顧客の個人情報だけでなく、特定の種類の機密性の高いビジネス情報も含む非公開情報を広く定義しています。
「一例として、これは、企業の事業運営を麻痺させるランサムウェアイベントが、そのイベントが個人情報を含んでいなくても、通知義務を引き起こす可能性が高いことを意味します」とKaitsounis氏とLeitch氏は述べています。
また、モデル法では、組織内および第三者との関係における書面によるプログラム、インシデント対応計画、監視要件など、情報セキュリティプログラムに対する厳格な要件も設定されています。
最後に、モデル法の守秘義務規定は非常に広範で、サイバーセキュリティイベントに関連する情報を公開記録の要求、召喚状、または私的な民事訴訟での使用から保護します。
NAICは、さまざまな州でモデル法の採用を積極的に推進してきましたが、モデル法自体は、州議会で制定されるまで効力を持ちません。 現在までに、いくつかの州では、既存の保険規制制度に合わせて修正を加えたモデル法が制定されています。
たとえば、モデル法では、保険会社がその規制を遵守するために1年しか与えられていませんが、ミシガン州では、要件をより長い期間にわたって段階的に導入するシステムを制定しています。 この法律は2021年1月20日に施行され、保険会社はほとんどの規定を遵守するために1年、サードパーティのサービスプロバイダーの要件を満たすために2年が与えられます、とPropertyCasualty360の Lawrence R. Hamilton、Jeffrey P. Taft、Matthew Bisanz は述べています。
モデル法は、保険会社がデータ侵害の通知に関する州の一般的な要件に従うことを義務付けています。 しかし、オハイオ州とミシガン州は、この文言を、法律の対象となる保険代理店、ブローカー、および企業にのみ適用される特定のデータ侵害通知要件に置き換えたと、弁護士で株主の ジョセフィン・チケッティ氏は述べています。
各州がモデル法の独自の反復テストを続ける中、保険会社は、地域間および時間の経過とともに変化するデータプライバシー規制の性質に注意する必要があります。
画像提供:Sergey Nivens / ©123RF.com、swollowpp / ©123RF.com、stylephotos / ©123RF.com