สิ่งที่ผู้ให้บริการ P&C ทุกรายจําเป็นต้องรู้เกี่ยวกับการปกป้องข้อมูลและความเป็นส่วนตัว
การละเมิดข้อมูลกลายเป็นข่าวพาดหัวไปทั่วโลกในปี 2018 บริษัทต่างๆ เช่น T-Mobile, Quora, Google, Orbitz และ Facebook ได้รับผลกระทบ โดยเปิดเผยข้อมูลส่วนบุคคลของผู้คนหลายล้านคน
การปกป้องข้อมูลและความเป็นส่วนตัวเป็นปัญหาร้ายแรงในโลกที่เชื่อมต่อกันอย่างสูงในปัจจุบัน และกําลังเป็นศูนย์กลางในสภานิติบัญญัติของรัฐหลายแห่ง ความเสี่ยงและความท้าทายของความปลอดภัยของข้อมูลควรเป็นความกังวลสูงสุดสําหรับ บริษัท ตัวแทนและนายหน้าในด้านการประกันภัยทรัพย์สินและวินาศพินาศ
ประเด็นสําคัญในความปลอดภัยและความเป็นส่วนตัวของข้อมูลประกันภัย
คําถามเกี่ยวกับความปลอดภัยของข้อมูล การปกป้อง และความเป็นส่วนตัวเกิดขึ้นทุกวัน อะไรเป็นสาเหตุของการโจมตีเหล่านี้ และจะหยุดได้อย่างไร
“การละเมิดข้อมูลสามารถเกิดขึ้นได้จากหลายสาเหตุ บางบริษัทถูกแฮ็ก ข้อมูลอาจถูกจัดการอย่างไม่ถูกต้องหรือขายให้กับบุคคลที่สาม ช่องโหว่ในระบบรักษาความปลอดภัยของเว็บไซต์อาจทําให้ข้อมูลไม่ได้รับการปกป้อง” Paige Leskin จาก Business Insider กล่าว
บริษัทต่างๆ ต้องเผชิญกับความต้องการเร่งด่วนอย่างต่อเนื่องในการปกป้องข้อมูลลูกค้าและธุรกิจในขณะเดียวกันก็ยังคงทําให้การสื่อสารเป็นเรื่องง่ายและเข้าถึงได้สําหรับทุกคน ปี 2018 เป็นปีแรกที่หลายรัฐใช้มาตรการกํากับดูแลอย่างแข็งขันเพื่อจัดการกับความท้าทายนี้ เมื่อกฎหมายความปลอดภัยของข้อมูลประกันภัยเพิ่มขึ้นคําถามเกี่ยวกับกฎหมายดังกล่าวจึงซับซ้อนมากขึ้นสําหรับ บริษัท ประกันภัย
ข้อบังคับการเย็บปะติดปะต่อกัน
ปัญหาที่ใหญ่ที่สุดประการหนึ่งที่ผู้ให้บริการประกันภัยต้องเผชิญคือการขาดข้อกําหนดด้านความปลอดภัยของข้อมูลและความเป็นส่วนตัวที่สอดคล้องกันในรัฐต่างๆ
การตอบสนองของรัฐต่อการคุ้มครองข้อมูลและข้อกังวลด้านความเป็นส่วนตัวปรากฏขึ้นในลักษณะเย็บปะติดปะต่อกัน ปัจจุบันทั้ง 50 รัฐมีกฎหมายแจ้งการละเมิดข้อมูล แต่ส่วนใหญ่ไม่ได้กล่าวถึงความปลอดภัยทางไซเบอร์ในบริบทการประกันภัยโดยเฉพาะ Bindu Nair และ Sean B. Hoar ทนายความของ Lewis Brisbois Bisgaard & Smith LLP กล่าว
ตัวอย่างเช่น กฎหมายความเป็นส่วนตัวของข้อมูลของแคลิฟอร์เนียช่วยให้ผู้บริโภคสามารถควบคุมข้อมูลส่วนบุคคลของตนได้อย่างไม่เคยมีมาก่อน ซึ่งก่อให้เกิดทั้งความท้าทายและโอกาสสําหรับ บริษัท ประกันภัยที่ดําเนินงานในรัฐ Don Jergler กล่าวใน Insurance Journal
กฎหมายเหล่านี้แตกต่างกันไปในแต่ละรัฐในปัจจุบัน แต่แนวคิดของกฎหมายการละเมิดข้อมูลทั่วประเทศได้รับการรับรองจากกระทรวงการคลังสหรัฐฯ Nair และ Hoar กล่าว
ค่าใช้จ่ายในการปกป้องข้อมูล
การเปลี่ยนแปลงกฎระเบียบการคุ้มครองข้อมูลยังนําไปสู่ความกังวลด้านต้นทุนสําหรับผู้ประกันความเสียหายและอุบัติเหตุโดยเฉพาะอย่างยิ่งเมื่อ บริษัท เหล่านี้กําลังเผชิญกับความท้าทายสองประการของการลงทะเบียนประกันภัยรถยนต์ที่ลดลงและการเรียกร้องค่าเสียหายต่อทรัพย์สินที่เพิ่มขึ้น
“ผลกระทบที่แท้จริงจะเป็นการเพิ่มต้นทุนในการปฏิบัติตามข้อกําหนดอย่างมหาศาล ซึ่งน่าจะไม่ใช่ส่วนหนึ่งของงบประมาณปัจจุบันของสถาบัน” Richard Fernandez ผู้เชี่ยวชาญด้านความรับผิดทางไซเบอร์คาดการณ์
ค่าใช้จ่ายจะรวมถึงความต้องการพนักงานที่ทุ่มเทให้กับความปลอดภัยทางไซเบอร์และการปฏิบัติตามข้อกําหนด ซึ่งกฎหมายของรัฐที่เพิ่งประกาศใช้เมื่อเร็วๆ นี้ เนื่องจากศาลหลายแห่งได้มีคําตัดสินที่แตกต่างกันเกี่ยวกับการดําเนินคดีทางแพ่งที่เกี่ยวข้องกับการละเมิดข้อมูลลูกค้า บริษัท ประกันภัยจึงต้องเผชิญกับภูมิทัศน์ทางกฎหมายที่ซับซ้อนมากขึ้นทนายความ Kimberly Horn กล่าว
รัฐดําเนินการเกี่ยวกับความปลอดภัยของข้อมูล
ในกรณีที่ไม่มีการตอบสนองของรัฐบาลกลางที่เป็นหนึ่งเดียวต่อความปลอดภัยของข้อมูลการประกันภัยรัฐในสหรัฐฯ ได้เริ่มควบคุมคําถามด้วยตนเอง นิวยอร์กและโรดไอส์แลนด์ได้ออกกฎเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลการประกันภัยและความเป็นส่วนตัว ในขณะที่เซาท์แคโรไลนา มิชิแกน และโอไฮโอใช้กฎหมายต้นแบบในปี 2018
รัฐอื่นๆ รวมถึงจอร์เจีย อิลลินอยส์ เคนตักกี้ แมริแลนด์ และเวอร์จิเนีย กําลังพิจารณากฎหมายความปลอดภัยของข้อมูลประกันภัย การเปลี่ยนแปลงที่ริเริ่มโดยรัฐดังกล่าวต้องการให้บริษัทประกันภัยทรัพย์สินและวินาศภัยในท้องถิ่นต้องเผชิญกับภูมิทัศน์ด้านกฎระเบียบที่ซับซ้อนมากขึ้นเรื่อย ๆ Christopher M. Brubaker ที่ PropertyCasualty360 กล่าว
นิวยอร์ก
นิวยอร์กปูทางไปสู่กฎระเบียบการคุ้มครองข้อมูลเฉพาะด้านการประกันภัย กรมบริการทางการเงินของรัฐ (DFS) ได้ใช้กฎระเบียบด้านความปลอดภัยทางไซเบอร์ในปี 2017 กําหนดให้บริษัทประกันภัยต้องใช้การรับรองความถูกต้องแบบหลายปัจจัยสําหรับการเข้าถึงข้อมูลและรายงานเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ภายใน 72 ชั่วโมง นอกจากนี้ยังเกี่ยวข้องกับข้อกําหนดเพิ่มเติมเกี่ยวกับการกํากับดูแลและความรับผิดชอบในรูปแบบของประธานเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) Larry Bianculli กรรมการผู้จัดการของ CCSI กล่าว
กฎหมายแบบจําลองความปลอดภัยของข้อมูลการประกันภัย NAIC ซึ่งเผยแพร่ในปลายปี 2017 เป็นไปตามข้อบังคับของนิวยอร์ก หลายรัฐได้นํากฎหมายต้นแบบมาใช้ทั้งหมด ในขณะที่บางรัฐกําลังพิจารณาร่างกฎหมายที่จะตราบทบัญญัติของกฎหมายต้นแบบบางส่วน
เซาท์แคโรไลนา
เซาท์แคโรไลนาพาดหัวข่าวในเดือนพฤษภาคม 2018 โดยกลายเป็นรัฐแรกที่นํากฎหมายแบบจําลองความปลอดภัยของข้อมูลประกันภัย NAIC มาใช้
กฎหมายของเซาท์แคโรไลนากําหนดให้ทั้งบุคคลและบริษัทที่ได้รับอนุญาตภายใต้กฎหมายประกันภัยของเซาท์แคโรไลนาต้องปฏิบัติตามข้อกําหนดใหม่เกี่ยวกับความปลอดภัยของข้อมูล หัวใจสําคัญของกฎหมายคือข้อกําหนดในการสร้างโปรแกรมความปลอดภัยของข้อมูลเป็นลายลักษณ์อักษรที่ครอบคลุม (WISP) Nameir Abbas ทนายความของ Alston & Bird กล่าว
หากเกิดการละเมิดข้อมูลผู้ประกันตนจะต้องตรวจสอบเหตุการณ์ประเมินลักษณะและขอบเขตระบุข้อมูลที่ถูกบุกรุก และ “ดําเนินมาตรการที่เหมาะสมเพื่อฟื้นฟูความปลอดภัยของข้อมูลที่ถูกบุกรุก” Joshua Mooney, Richard Borden และ Sedgwick Jeanite จาก White & Williams LLP กล่าว ผู้ประกันตนยังต้องรายงานเหตุการณ์บางอย่างต่อแผนกประกันภัยของรัฐ
มิชิแกนและโอไฮโอ
มิชิแกนและโอไฮโอยังประกาศใช้กฎหมายความปลอดภัยของข้อมูลประกันภัยในเดือนธันวาคม 2018 โดยนํากฎหมายแบบจําลองความปลอดภัยของข้อมูลการประกันภัย NAIC มาใช้ กฎหมายใหม่มีผลบังคับใช้กับบุคคลหรือบริษัทใด ๆ ที่ได้รับอนุญาตจากแผนกประกันภัยของรัฐที่เกี่ยวข้อง
กฎหมายของมิชิแกนยังรวมบทบัญญัติหลายประการของพระราชบัญญัติป้องกันการโจรกรรมบัตรประจําตัวของรัฐ Kate Hanniford ทนายความและสมาชิกทีมตอบสนองความปลอดภัยทางไซเบอร์ที่ Alston & Bird กล่าว
กฎหมายของโอไฮโอครอบคลุมเฉพาะผู้ประกันตน หน่วยงาน และนายหน้าที่ทําธุรกิจในโอไฮโอเท่านั้น “บริษัทประกันภัยต่อที่มีภูมิลําเนานอกโอไฮโอ ตลอดจนกลุ่มรักษาความเสี่ยงและกลุ่มจัดซื้อที่ได้รับอนุญาตและได้รับอนุญาตในรัฐอื่นจะไม่รวมอยู่ในพระราชบัญญัติ” Edward R. McNicholas และ Thomas D. Cunningham ทนายความและหุ้นส่วนของ Sidley กล่าว
ทําความเข้าใจกฎหมายโมเดลความปลอดภัยของข้อมูลประกันภัย
กฎหมาย แบบจําลองความปลอดภัยของข้อมูลประกันภัย NAIC “กําหนดกรอบกฎหมายสําหรับการกําหนดให้องค์กรประกันภัยดําเนินการโปรแกรมความปลอดภัยทางไซเบอร์ที่สมบูรณ์” Matt Franko ผู้อํานวยการด้านความปลอดภัย ความเป็นส่วนตัว และความเสี่ยงของ RSM กล่าว กรอบงานนี้ครอบคลุมประเด็นด้านความปลอดภัยของข้อมูลที่หลากหลาย ตั้งแต่การทดสอบความปลอดภัยทางไซเบอร์และการกํากับดูแลของคณะกรรมการ ไปจนถึงแผนการตอบสนองต่อเหตุการณ์และขั้นตอนการแจ้งเตือนการละเมิด
กฎหมายต้นแบบได้ถูกนํามาใช้โดยหลายรัฐแล้ว และอยู่ระหว่างการพิจารณาในสภานิติบัญญัติของรัฐเพิ่มเติม ความนิยมทําให้ควรค่าแก่การพิจารณาของบริษัทประกันภัย P&C ตัวแทน และนายหน้า
บทบัญญัติที่โดดเด่นสามประการกําหนดกฎหมายนี้ Andreas Kaitsounis และ Shea M. Leitch ทนายความของ Baker Hostetler กล่าว ประการแรก กฎหมายแบบจําลองกําหนดข้อมูลที่ไม่เปิดเผยต่อสาธารณะในวงกว้าง ไม่เพียงแต่ข้อมูลส่วนบุคคลของลูกค้าเท่านั้น แต่ยังรวมถึงข้อมูลทางธุรกิจที่ละเอียดอ่อนบางประเภทด้วย
“นี่เป็นเพียงตัวอย่างหนึ่ง นี่หมายความว่าเหตุการณ์แรนซัมแวร์ที่ทําให้การดําเนินธุรกิจของนิติบุคคลพิการมีแนวโน้มที่จะทําให้เกิดภาระผูกพันในการแจ้งให้ทราบแม้ว่าเหตุการณ์นั้นจะไม่เกี่ยวข้องกับข้อมูลส่วนบุคคลก็ตาม” Kaitsounis และ Leitch กล่าว
กฎหมายต้นแบบยังกําหนดข้อกําหนดที่เข้มงวดสําหรับโปรแกรมความปลอดภัยของข้อมูล รวมถึงโปรแกรมที่เป็นลายลักษณ์อักษร แผนการตอบสนองต่อเหตุการณ์ และข้อกําหนดการกํากับดูแลทั้งภายในองค์กรและในความสัมพันธ์ของบุคคลที่สาม
สุดท้ายบทบัญญัติการรักษาความลับของกฎหมายต้นแบบนั้นค่อนข้างกว้างปกป้องข้อมูลที่เกี่ยวข้องกับเหตุการณ์ความปลอดภัยทางไซเบอร์จากการร้องขอบันทึกสาธารณะหมายศาลหรือใช้ในการดําเนินคดีแพ่งส่วนตัว
แม้ว่า NAIC จะส่งเสริมการนํากฎหมายต้นแบบมาใช้โดยรัฐต่างๆ อย่างแข็งขัน แต่กฎหมายต้นแบบเองก็ไม่มีผลจนกว่าจะประกาศใช้โดยสภานิติบัญญัติของรัฐ จนถึงปัจจุบัน หลายรัฐได้ออกกฎหมายต้นแบบพร้อมการปรับเปลี่ยนเพื่อให้เหมาะกับระบบกฎระเบียบการประกันภัยที่มีอยู่ของตนเอง
ตัวอย่างเช่น ในขณะที่กฎหมายต้นแบบให้เวลาผู้ประกันตนเพียงหนึ่งปีในการปฏิบัติตามกฎระเบียบ แต่มิชิแกนได้ออกระบบเพื่อกําหนดข้อกําหนดเป็นระยะในระยะเวลาที่ยาวนานขึ้น กฎหมายมีผลบังคับใช้ในวันที่ 20 มกราคม พ.ศ. 2021 โดยให้เวลาผู้ประกันตนหนึ่งปีในการปฏิบัติตามข้อกําหนดส่วนใหญ่ และสองปีในการปฏิบัติตามข้อกําหนดสําหรับผู้ให้บริการบุคคลที่สาม Lawrence R. Hamilton, Jeffrey P. Taft และ Matthew Bisanz ที่ PropertyCasualty360 กล่าว
กฎหมายแบบจําลองกําหนดให้ผู้ประกันตนต้องปฏิบัติตามข้อกําหนดทั่วไปของรัฐสําหรับการแจ้งการละเมิดข้อมูล ทนายความและผู้ถือหุ้น Josephine Cicchetti กล่าวว่า ทั้งโอไฮโอและมิชิแกนแทนที่ภาษานี้ด้วยข้อกําหนดการแจ้งเตือนการละเมิดข้อมูลที่เฉพาะเจาะจงซึ่งใช้กับตัวแทนประกันภัย โบรกเกอร์ และ บริษัท ที่ครอบคลุมโดยพระราชบัญญัติเท่านั้น
ในขณะที่รัฐยังคงทดสอบกฎหมายแบบจําลองของตนเอง ผู้ให้บริการประกันภัยจะต้องสังเกตลักษณะที่เปลี่ยนแปลงไปของกฎระเบียบความเป็นส่วนตัวของข้อมูลทั้งในภูมิภาคและเมื่อเวลาผ่านไป
รูปภาพโดย: Sergey Nivens/©123RF.com, swollowpp/©123RF.com, stylephotographs/©123RF.com