保険業界のリスク管理

公開: 2019-02-21

住宅、自動車、その他の個人資産には保険をかけることができますが、保険会社が収集した機密データには保険をかけることができません。 実際、保険会社は、顧客が保険料で支払うべき金額を決定する際に、さまざまな種類の個人データを収集します。 社会保障番号から個人の住所やクレジットカード情報まで、保険会社は、各顧客が提示するリスクのレベルを評価する際に、さまざまなソースからのデータを使用します。

許可されていないソースが顧客の個人データにアクセスすると、壊滅的な結果を招く可能性があります。 保険会社は、機密データのサイバーセキュリティ侵害の可能性を最小限に抑える管理プロセスを実装する必要があります。

サイバーセキュリティの脅威のリスクがある保険データ

各保険契約者が保険会社にどの程度のリスクを提示するかを決定することには多くのことが関わっています。 保険会社は、高度なアルゴリズムを使用して、適切な月額保険料率を特定するために顧客に機密情報を要求することがよくあります。 このようなデータには、社会保障番号、運転免許証番号、生体認証データ、医療情報、および財務記録が含まれます。

このようなデータを安全に保つ必要性は、すべての保険会社にとって不可欠です。 このリスクを効果的に管理するために、全米保険監督官協会(NAIC)は、リスクの評価と管理のベストプラクティスを概説する法案を提出しました。 2017年に導入されたこの法律は、リスク評価のための5段階のプロセスと、管理のための別の5段階のプロセスについて説明しています。

この法律の中心は、保険契約者が保険会社に提供する可能性のあるすべての非公開情報を保護することに重点を置いています。 非公開情報は、保険会社が保険料を計算するときに使用するすべてのデータです。

リスク評価に含まれる5つのステップ

このリスク評価プロセスには、次のものが含まれます。

リスク評価を内部プロセスにする

NAICが提案する最初のステップは、各企業の内部でリスク評価を行うことです。 保険会社は、顧客データを保護するという個人的な責任感を持っており、データのセキュリティに関する限り、常に責任を負っています。 したがって、データ侵害の可能性を減らすことができます。 このプロセスは、会社のセキュリティプログラムを監督する責任を負うリスクマネージャーを指名することから始まります。

内部および外部の脅威を特定するためのフレームワークを確立する

保険データが直面する脅威は広範囲に及んでいます。 それらは内部と外部の両方のソースから発生する可能性があるため、NAICが提案した法律は、保険会社がそれらから保護するためのすべての潜在的なリスクを特定するためのプロセスを捧げるべきであると概説しています。

脅威が発生する可能性はどのくらいあり、その結果はどうなりますか?

保険会社が保険契約者が事故に巻き込まれる可能性を評価する方法と同様に、保険会社はいつでも顧客データが侵害される可能性を判断する必要があります。 評価には、会社が直面する可能性のあるすべての経済的、法的、無形の結果も含める必要があります。

現在のシステムとそのリスクに対する感受性のレビュー

次のステップは、現在のサイバーセキュリティシステムを確認し、それらが標準化されたガイドラインとどの程度一致しているかを判断することです。 このレビューには、使用されているすべてのネットワークとソフトウェア、データストレージの実践、分類、および送信手順が含まれる必要があります。 特定された不足は、改善の計画を決定するために書き留めておく必要があります。

リスク軽減計画を実施する

保険会社は、新しいテクノロジーや高度なサイバー攻撃によって発生する可能性のある新しいリスクを常に把握している必要があります。 これは、毎年実施される定期的なリスク評価によってのみ達成できます。

保険会社のリスク管理プロセスを理解する

リスク評価とは、データセキュリティの潜在的な弱点を特定することを指しますが、リスク管理とは、企業が直面する可能性のある潜在的なリスクを積極的に監視および軽減することを指します。 NAICによると、リスク管理計画には次のステップが含まれます。

情報セキュリティプログラムの確立

リスク管理は、効果的な情報セキュリティプログラムから始まります。 このようなプログラムは、ビジネスの運営に関連している必要があり、会社が直面する可能性のある現在のリスクを特定して軽減するのに役立つ十分なリソースを備えている必要があります。

セキュリティ管理の実装

内部の脅威に対する保護の追加レイヤーを提供しながら、機密性の高い顧客データにアクセスできるユーザーを制限するセキュリティ制御。 セキュリティ制御プロトコルには、データアクセスの認証プロセス、ビジネスのさまざまな部分への制限された物理的アクセス、会社のシステムの定期的なテストと監視、および安全なソフトウェア開発が含まれている必要があります。

サイバーセキュリティを組み込んだエンタープライズリスク管理計画

ERM計画には、考慮すべき潜在的な要素の一部としてサイバーセキュリティの脅威も含める必要があります。

情報共有計画の実施

情報共有により、すべての部門と業界のプレーヤーは、新しいリスクについてタイムリーに学び、適切な対応を設計することができます。

緊急のリスクを把握するための定期的なトレーニング

最後に、リスク管理計画には、サイバー攻撃者が使用する急速に進化する戦略を常に把握できるように、適切なスタッフのトレーニングを含める必要があります。

編集者注:Ken Lynchは、エンタープライズソフトウェアのスタートアップのベテランであり、労働者を仕事に駆り立てるものと、仕事をより魅力的にする方法に常に魅了されてきました。 ケンはまさにそれを追求するために相互主義を設立しました。 彼は、より社会的志向の企業市民を作成するために、従業員を会社のガバナンス、リスク、およびコンプライアンスの目標に関与させるというこのミッションベースの目標で、Reciprocityの成功を推進してきました。 ケンはMITでコンピュータサイエンスと電気工学の理学士号を取得しています。 詳細については、ReciprocityLabs.comをご覧ください。

これについて何か考えがありますか? コメントで下に知らせてください、または私たちのツイッターまたはフェイスブックに議論を持ち越してください。

編集者の推奨事項:

  • サイバーセキュリティと高等教育
  • クラウドの保護
  • リスク許容度とリスク食欲とは何ですか
  • コンプライアンス管理のベストプラクティス
  • 効果的なワークフロー監査管理プロセス