모든 P&C 공급업체가 데이터 보호 및 개인 정보 보호에 대해 알아야 할 사항
2018년 데이터 유출 사고는 전 세계의 헤드라인을 장식했습니다. T-Mobile, Quora, Google, Orbitz 및 Facebook과 같은 회사가 영향을 받아 수백만 명의 개인 정보가 노출되었습니다.
데이터 보호 및 개인 정보 보호는 오늘날의 고도로 연결된 세상에서 심각한 문제이며 많은 주 입법부에서 중심 무대를 차지하고 있습니다. 데이터 보안의 위험과 과제는 재산 및 상해 보험 분야의 회사, 대리인 및 중개인에게 가장 큰 관심사가 되어야 합니다.
보험 데이터 보안 및 개인 정보 보호의 주요 문제
데이터 보안, 보호 및 개인 정보 보호에 대한 질문이 매일 발생합니다. 이러한 공격의 원인은 무엇이며, 어떻게 막을 수 있습니까?
“데이터 침해는 다양한 이유로 발생할 수 있습니다. 일부 회사는 해킹을 당합니다. 데이터가 잘못 처리되거나 제3자에게 판매될 수 있습니다. 웹 사이트 보안 시스템의 허점은 정보를 보호하지 못하게 할 수 있습니다”라고 Business Insider의 Paige Leskin 은 말합니다.
기업은 고객 및 비즈니스 데이터를 보호하는 동시에 모든 사람이 커뮤니케이션을 간단하고 액세스할 수 있도록 해야 하는 시급한 요구에 직면해 있습니다. 2018년은 많은 주에서 이 문제를 해결하기 위해 적극적인 규제 조치를 취한 첫 해였습니다. 보험 데이터 보안 법률이 증가함에 따라 이러한 법률을 둘러싼 보험 회사의 질문은 더욱 복잡해지고 있습니다.
패치워크 규정
보험 회사가 직면한 가장 큰 문제 중 하나는 여러 주에서 일관된 데이터 보안 및 개인 정보 보호 요구 사항이 부족하다는 것입니다.
데이터 보호 및 개인 정보 보호 문제에 대한 주 정부의 대응은 패치워크 방식으로 나타났습니다. 현재 50개 주 모두 데이터 유출 통지법을 가지고 있지만, 대다수는 보험과 관련하여 사이버 보안을 구체적으로 다루지 않았다고 Lewis Brisbois Bisgaard & Smith LLP의 변호사인 Bindu Nair와 Sean B. Hoar는 말합니다.
예를 들어, 캘리포니아의 데이터 개인 정보 보호법은 소비자에게 개인 데이터에 대한 전례 없는 통제권을 부여하여 캘리포니아주에서 운영되는 보험 회사에 도전과 기회를 동시에 제시한다고 Insurance Journal의 Don Jergler 는 말합니다.
이러한 법률은 현재 주마다 다르지만 미국 재무부는 전국적인 데이터 침해 법률의 아이디어를 지지하고 있다고 Nair와 Hoar는 말합니다.
데이터 보호 비용
데이터 보호 규정의 변화는 또한 손해 보험사의 비용 문제로 이어지고 있으며, 특히 이러한 회사들이 이미 자동차 보험 가입 감소와 재산 피해 청구 증가라는 두 가지 문제에 직면해 있는 경우 더욱 그렇습니다.
사이버 책임 전문가인 리처드 페르난데즈(Richard Fernandez)는 “실제 효과는 규정 준수 비용이 엄청나게 증가할 것이며, 이는 기관의 현재 예산에 포함되지 않을 가능성이 높다”고 예측합니다.
이 비용에는 사이버 보안 및 규정 준수를 전담하는 직원의 필요성이 포함되며, 이는 최근에 제정된 여러 주법에서 요구합니다. 고객 데이터 유출과 관련된 민사 소송에 대해 여러 법원이 서로 다른 판결을 내리면서 보험 회사들도 점점 더 복잡한 법률 환경에 직면해 있다고 변호사 Kimberly Horn은 말합니다.
주 정부는 데이터 보안에 대한 조치를 취합니다.
보험 데이터 보안에 대한 연방정부의 통일된 대응이 부재한 상황에서, 미국의 주들은 이 문제를 스스로 규제하기 시작했다. 뉴욕과 로드아일랜드는 보험 데이터 보호 및 개인 정보 보호에 관한 규칙을 제정했으며, 사우스캐롤라이나, 미시간, 오하이오는 2018년에 모델 법률을 채택했습니다.
조지아주, 일리노이주, 켄터키주, 메릴랜드주, 버지니아주 등 다른 주에서도 보험 데이터 보안법을 고려하고 있다. 이러한 주정부 주도의 변화로 인해 지역 손해 보험사들은 점점 더 복잡해지는 규제 환경에 직면해야 한다고 PropertyCasualty360의 Christopher M. Brubaker 는 말합니다.
뉴욕
뉴욕은 보험 관련 데이터 보호 규정의 길을 열었습니다. 뉴욕주의 금융서비스부(DFS)는 2017년에 사이버 보안 규정을 시행했습니다. 이에 따라 보험 회사는 데이터 액세스를 위한 다단계 인증을 구현하고 72시간 이내에 사이버 보안 사고를 보고해야 했습니다. 또한 최고 정보 보안 책임자(CISO)의 형태로 거버넌스 및 책임에 대한 추가 요구 사항도 포함되었다고 CCSI의 전무 이사인 Larry Bianculli는 말합니다.
2017년 말에 발표된 NAIC 보험 데이터 보안 모델법은 뉴욕 규정을 기반으로 합니다. 몇몇 주에서는 모델법을 완전히 채택했으며, 다른 주에서는 모델법의 일부 조항을 제정하는 법안을 고려하고 있습니다.
사우스 캐롤라이나
사우스캐롤라이나는 2018년 5월 NAIC 보험 데이터 보안 모델법을 채택한 최초의 주가 되어 헤드라인을 장식했습니다.
사우스캐롤라이나의 법률은 사우스캐롤라이나의 보험법에 따라 허가를 받은 개인과 회사 모두 데이터 보안과 관련된 새로운 요구 사항을 충족하도록 요구합니다. 이 법의 핵심은 포괄적인 서면 정보 보안 프로그램(WISP)을 만들어야 한다는 요건이라고 Alston & Bird의 변호사인 Nameir Abbas는 말합니다.
데이터 침해가 발생할 경우, 보험사는 사건을 조사하고, 사건의 성격과 범위를 평가하고, 손상된 정보를 식별하고, “손상된 정보의 보안을 복원하기 위한 합리적인 조치를 취해야 한다”고 White & Williams LLP의 Joshua Mooney, Richard Borden 및 Sedgwick Jeanite 는 말합니다. 보험사는 또한 특정 사건을 주의 보험 부서에 보고해야 합니다.
미시간과 오하이오
미시간주와 오하이오주도 2018년 12월 보험 데이터 보안법을 제정하여 NAIC 보험 데이터 보안 모델법을 채택했습니다. 새로운 법률은 각 주의 보험 부서에서 허가를 받은 모든 개인 또는 회사에 적용됩니다.
미시간 주법은 또한 미시간 주의 ID 도난 방지법의 여러 조항을 통합하고 있다고 Alston & Bird의 변호사이자 사이버 보안 대응 팀원인 Kate Hanniford는 말합니다.
오하이오의 법은 오하이오에서 사업을 하는 보험사, 에이전시 및 중개인에게만 적용됩니다. “오하이오 이외의 지역에 소재한 재보험사와 다른 주에서 인가를 받고 허가를 받은 위험 보유 그룹 및 구매 그룹은 이 법에서 제외됩니다”라고 Sidley의 변호사 및 파트너인 Edward R. McNicholas와 Thomas D. Cunningham은 말합니다.
보험 데이터 보안 모델 법률의 이해
RSM의 보안, 개인 정보 보호 및 위험 책임자인 Matt Franko는 NAIC 보험 데이터 보안 모델법은 “보험 조직이 완전한 사이버 보안 프로그램을 운영하도록 요구하는 법적 프레임워크를 수립한다”고 말합니다. 이 프레임워크는 사이버 보안 테스트 및 이사회 감독에서 사고 대응 계획 및 위반 알림 절차에 이르기까지 광범위한 데이터 보안 문제를 다룹니다.
이 모델법은 이미 여러 주에서 채택되었으며, 다른 주 입법부에서도 고려되고 있습니다. 그 인기는 P &C 보험 회사, 대리인 및 중개인이 고려할 가치가 있습니다.
Baker Hostetler의 변호사인 Andreas Kaitsounis와 Shea M. Leitch는 이 법안을 정의하는 세 가지 주목할 만한 조항이 있다고 말합니다. 첫째, 모델법은 고객의 개인 정보뿐만 아니라 특정 유형의 민감한 비즈니스 정보를 포함하여 비공개 정보를 광범위하게 정의합니다.
“한 가지 예를 들자면, 이는 기업의 비즈니스 운영을 마비시키는 랜섬웨어 사건이 개인 정보와 관련이 없더라도 통지 의무를 유발할 가능성이 높다는 것을 의미합니다”라고 Kaitsounis와 Leitch는 말합니다.
모델 법은 또한 서면 프로그램, 사고 대응 계획 및 조직 내 및 제3자 관계에서의 감독 요구 사항을 포함하여 정보 보안 프로그램에 대한 엄격한 요구 사항을 설정합니다.
마지막으로, 모델법의 기밀 유지 조항은 매우 광범위하여 사이버 보안 이벤트와 관련된 정보를 공공 기록 요청, 소환장 또는 민간 민사 소송에 사용하지 못하도록 보호합니다.
NAIC는 여러 주에서 모델법의 채택을 적극적으로 추진해 왔지만, 모델법 자체는 주 의회에서 제정될 때까지 효력이 없습니다. 현재까지 여러 주에서 기존 보험 규정 시스템에 맞게 수정하여 모델법을 제정했습니다.
예를 들어, 모델법은 보험사가 규정을 준수할 수 있는 기간을 1년으로 제한하지만 미시간 주는 더 오랜 기간에 걸쳐 요구 사항을 단계적으로 도입하는 시스템을 제정했습니다. 이 법은 2021년 1월 20일부터 시행되며, PropertyCasualty360의 Lawrence R. Hamilton, Jeffrey P. Taft 및 Matthew Bisanz 는 보험사가 대부분의 조항을 준수하는 데 1년, 제3자 서비스 제공업체에 대한 요구 사항을 충족하는 데 2년의 기간을 부여한다고 말합니다.
모델법은 보험사가 데이터 침해 통지에 대한 주의 일반 요구 사항을 따르도록 요구합니다. 그러나 오하이오주와 미시간주 모두 이 용어를 이 법의 적용을 받는 보험 대리인, 중개인 및 회사에만 적용되는 특정 데이터 유출 통지 요구 사항으로 대체했다고 변호사이자 주주인 Josephine Cicchetti는 말합니다.
각 주에서 모델 법률의 자체 반복을 계속 테스트함에 따라 보험사는 지역에 따라 그리고 시간이 지남에 따라 변화하는 데이터 개인 정보 보호 규정의 특성에 유의해야 합니다.
이미지 작성자: Sergey Nivens/©123RF.com, swollowpp/©123RF.com, stylephotographs/©123RF.com
추가 자료
추천
19 9월 2024
19 9월 2024
19 9월 2024