クラウドおよびデータ保護保険:オンラインで私たちの生活を保護するための補償
保険業界のクラウドへの移行はクリティカルマスに達しています。 今日、多くの保険会社は、データをクラウドに保存するだけでなく、ソフトウェア・プラットフォームやその他のツールを使用して、クラウドベースのデータを新しい方法で活用していると、IBMの Nischal Kapoor 氏は述べています。
クラウドの台頭に伴い、データ損失やサイバー攻撃など、 クラウドベースのリスクに対する保険適用の需要が高まっています。 クラウド保険、サイバー保険、データ保護保険として知られるこの補償は、クラウドコンピューティングが提供する機会を活用する際に、お客様に安心感を提供します。
クラウド保険は、保険会社がクラウド自体を使用するだけでなく、必要かつ望ましい保険商品を提供することでビジネスと顧客との関係を構築する機会でもあります。
データ保護保険とは?
データ侵害は、特に米国では高額です。 米国におけるデータ侵害の平均コストは819万ドルで、これは世界平均の2倍以上であると、プライバシーとデータ保護に重点を置くPonemon Instituteの会長兼創設者である Larry Ponemon氏は述べています。 さらに、組織がデータ侵害を特定して封じ込めるのにかかる時間の平均は、数週間から数か月でカウントされます。
データ保護保険は、データ侵害やデータ損失が発生した場合に組織を保護するものだと、Data Insiderの Chris Brook 氏は述べています。 多くの場合、これは、顧客のクラウドベースのデータをホストするサーバー施設での停電や物的損害など、悪意のないイベントによって引き起こされたデータ損失も対象とするポリシーに含まれています。 また、データを盗もうとする試みを取り巻く損失に焦点を当てたサイバー攻撃の補償もあります。
現在、多くのサイバー保険契約は既存の企業賠償責任保険と組み合わされていると、Vodafoneの元CTOである Andrzej Kawalec氏は述べています。 これらのポリシーは、多くの場合、万能です。 また、定義が不明確であったり、既存のビジネス責任ポリシーと区別がつかなかったり、既知のデータ損失リスクに対処するのに不十分であったりすることもあります。
これらの欠点を念頭に置いて、Kawalecはクラウドとデータ保護の適用範囲に対して異なるアプローチを推奨しています。 「これにより、保険会社は損害率を向上させると同時に、顧客固有のビジネスリスクに合わせたより良い保険を提供することができます」と彼は言います。
政府、データ保護、保険
EUの一般データ保護規則(GDPR)の可決や、カリフォルニア州など米国のさまざまな管轄区域での同様の法律の議論により、多くの企業がデータ保護リスクとその対処方法についてより慎重に考えるようになりました。
「サイバーカバレッジへの関心が高まっています」と、AIGのEMEAサイバー責任者である Mark Camillo氏は述べています。 実際、AIGは、GDPRに直面して、より多くの企業がオンラインデータと運用に特化した補償を求めたため、2017年5月から2018年5月の間にヨーロッパのサイバービジネスが50%増加したと述べています。
たとえば、GDPRでは、多くの組織に、データセキュリティを監視し、GDPRコンプライアンスを確保する役割を担う独立したデータ保護責任者(DPO)を任命することが義務付けられています。 DPOのポジションの創設には、企業が既存のサイバー保険を見直して変更する必要があるかもしれないし、追加の補償の購入を促すかもしれないと、Woodruff Sawyerの Dan Burke氏とPriya Cherian Huskins 氏は言う。
米国では、企業はデータセキュリティに関する法律や規制のパッチワークに直面しています。 たとえば、サウスカロライナ州は最近、ニューヨーク州が作成したデータセキュリティに関する一連の規制と同様のデータセキュリティ法を採択しました。 カリフォルニア州、ロードアイランド州、その他多くの州も法律を検討しており、国境内でビジネスを行おうとする企業に影響を与えると、PropertyCasualty360の クリストファー・M・ブルベイカー 氏は述べています。
これらに加えて、データ侵害のリスクに対する一般市民の認識の高まりと、侵害によって自分自身が損害を受けたと認識した場合に訴訟を起こす意欲も高まっていることから、クラウドおよびデータ保護保険への関心が高まっています。
しかし、多くの顧客はクラウドベースのデータを取り巻くリスクを理解しておらず、連邦法がサイバーセキュリティ侵害とデータ保護のあらゆる側面について統一されたガイダンスを提供していないと、米国損害保険協会(PCIAA)の ナット・ウィネッケ 氏は述べています。 この混乱は、データ保護保険商品の開発をより困難にする可能性がありますが、保険会社にとってはビジネスチャンスをもたらす可能性もあります。
クラウドおよびデータ保護保険でのビジネスの構築
すべてのお客様が、システムがクラウドベースであるかどうかにかかわらず、データ保護の適用範囲の必要性を理解しているわけではありません。 ニーズが存在する場合でも、GDPRや米国のさまざまな州法など、補償の必要性を生み出す法律がビジネスに適用されることを顧客は理解していない可能性があると、KovrrのCEO であるYakir Golan氏は述べています。
保険会社は、この混乱に隠された機会をつかみ、顧客を教育するだけでなく、彼らのニーズを満たすことができます。
EUの一般データ保護規則(GDPR)のような法律は、当初、保険会社に懸念を引き起こしました。 リスク分析や顧客とのコミュニケーションを改善する機会と捉えるのではなく、脅威と捉える人もいました。
GDPRおよび同様の法律は、データ保護に対する広範なアプローチのために、保険会社と他の企業の両方に懸念を提起しています。 たとえば、GDPRの下では、「保護された情報の侵害がなかった場合でも、違反が発生する可能性があります。企業は、自社のプライバシーポリシーの条項を遵守しなかっただけで罰金を科せられる可能性があります」と、サイバー保険の補償範囲を専門とするCoalitionの共同創設者兼CEOである Joshua Motta氏は述べています。
データ保護法がデータ収集やクラウドストレージの使用をめぐる新たなリスクを生み出すと、既存の賠償責任保険では、お客様が望み、必要とする保護を提供できなくなる可能性があります。 保険会社がデータ保護を他の賠償責任保険にバンドルしようとすると、顧客は必要な補償を受けられなくなる可能性があります(そして、喜んで支払うはずでした)。
サイバー保険の価格設定方法の透明性の欠如は、保険会社にも顧客にも役立たない可能性があると、研究者の サーシャ・ロマノフスキー 氏と共著者は、Journal of Cybersecurityの2019年の記事に書いています。 ロマノフスキー氏とチームは、サイバー保険契約を分析して、これらの保険契約が現在どのようなリスクをカバーしているのか、また、保険会社がそれらのリスクを分析するための情報をどのように収集しているのかを判断しました。
保険会社がリスクを理解したり、保険商品の価格を設定したりするために時代遅れの方法を使用すると、保険会社とその顧客の両方が不満を抱く可能性があります。 これらの変化を常に把握することは、忠実な顧客を獲得し維持しようとする保険会社にとって不可欠です。
欧州の法律はアメリカの保険会社を助けることができるか?
GDPRや同様の州のデータ保護法の要求は、保険業界のリーダーの多くにとって頭痛の種となっています。 しかし、これらの法律は、保険会社がサイバーリスクの常駐専門家になるためのスペースを作ることにより、保険会社に機会を提供します。
GDPRのような法律ではサイバー攻撃に関する情報の収集が義務付けられているため、保険会社がデータ保護の補償範囲をより効果的に価格設定するのに役立つ可能性があると、Zurich Insuranceのサイバー責任部門で働く Mark Bannon氏は述べています。 この情報は、保険会社が企業が必要とするサイバーリスクに関する専門知識を提供するのにも役立ちます。
現在、企業はさまざまな目標を達成するためにサイバーリスク保険を求めているとBannon氏は言います。 しかし、クラウドとデータ保護の補償範囲に対する需要は、企業がサイバー攻撃のリスクについて何を知っているか、またはまだ理解していないかによって複雑になる可能性があります。
サイバー攻撃やその他のリスクに関する情報を活用してクラウドエコシステムをより深く理解する保険会社は、クラウドとデータ保護の専門家としての地位を確立することができます。 これにより、情報源として、またサイバーリスクの問題の解決策として、顧客との関係を強化することができます。
画像提供:sashkin7 / ©123RF.com、foodandmore / ©123RF.com、dotshock / ©123RF.com