この書簡では、「潜在的な規制」が具体的な要件を定める8つの分野が列挙されている。同省が大規模保険事業者が保有する消費者情報のセキュリティを懸念していることを踏まえると、この書簡が単に同省が規制を検討している分野の一般的な表明である可能性は低い。むしろ、以下で分析する8つの分野は、現在策定中の規制条項を予見するものである可能性が高い。
サイバーセキュリティ方針と手順:当部門は、各組織のサイバーセキュリティ方針と手順において対応が求められる事項について、12項目にわたる詳細なリストを提示している。これには以下が含まれる:
(1) 情報セキュリティ
(2) データガバナンスと分類
(3) アクセス制御とID管理
(4) 事業継続と災害復旧計画およびリソース
(5) 容量とパフォーマンス計画
(6) システム運用と可用性に関する懸念
(7) システムとネットワークセキュリティ
(8) システムとアプリケーション開発および品質保証
(9) 物理的セキュリティと環境制御
(10) 顧客データのプライバシー
(11) ベンダーおよびサードパーティサービスプロバイダーの管理
(12) インシデント対応(明確に定義された役割と意思決定権限の設定を含む)
大手保険会社は既にこうした方針や手順の多くを導入しているが、第5条と併せて読むとこのリストはより負担の大きいものとなる。第5条は「各対象事業体は、当該事業体が利用する全てのアプリケーションのセキュリティを確保するために合理的に設計された書面による手順、ガイドライン、基準を維持し実施することが求められる」と規定している。 この規定がNYDFS(ニューヨーク州金融サービス局)の最終規則で維持される場合、保険会社が単にこれらの方針や手順を実施するだけでは不十分となる。むしろ、その実施において合理性の基準を満たす必要がある。第5条で論じた通り、これは困難を伴う可能性がある。
第三者サービスプロバイダー管理:同省は第三者プロバイダーについて詳細に言及し、対象事業体に対し「第三者サービスプロバイダーがアクセス可能または保持する機密データやシステムの安全性を確保するためのポリシーと手順を維持すること」を推奨している。
NYDFSはこの提案を実施するための契約上の手法を提案している——保険会社に第三者契約に最低限の優先条項を含めることを義務付けるものだ。同局はさらに、多要素認証、暗号化、補償、セキュリティ監査の利用を含む情報共有を強化するための6つの契約条項を提示している。
多要素認証:当省は対象事業体に対し、「内部システム及びデータへの全てのアクセスに多要素認証を導入すること」を義務付ける見込みである。多要素認証では、機密性の高いアカウントやデータへのアクセスを許可する前に、本人確認を2つの方法で実施することが求められる。
最高情報セキュリティ責任者:同省はまた、対象となる各事業体に対し「適格な従業員を最高情報セキュリティ責任者(CISO)として任命すること」を義務付ける。CISOは「事業体の取締役会による審査を経た年次報告書を同省に提出し、サイバーセキュリティプログラム及び当該事業体に対するサイバーセキュリティリスクを評価することが求められる」。
アプリケーションセキュリティ:同省は「各対象事業体は、当該事業体が利用する全てのアプリケーションのセキュリティを確保するために合理的に設計された文書化された手順、ガイドライン、および基準を維持し実施することが求められる」と述べている。前述の通り、上記の基準が正式に定められた場合、第1節で概説された12の必須ポリシーおよび手順項目全てに合理性の基準が適用されることになる。
サイバーセキュリティ上の脅威は絶えず進化している。これは、それらを軽減するための「合理的な」対策も流動的であることを意味する。大量の個人情報を保有する組織にとって、この絶えず変化する基準に対応し続けることは困難な課題となるだろう。
サイバーセキュリティ要員と情報:同省はまた、対象となる各事業体は「当該事業体のサイバーセキュリティリスクを管理し、特定・保護・検知・対応・復旧という中核的なサイバーセキュリティ機能を遂行するのに十分な要員を雇用することが求められる」と指摘している。こうした要員の雇用・訓練費用、あるいはこれらの責任を第三者に委託する費用は、今後の規制遵守を目指す保険会社にとって多大な負担となるだろう。
監査:同省は年次「ペネトレーションテスト」(セキュリティ上の弱点を特定するためのコンピュータシステムへの制御された攻撃)と四半期ごとの「脆弱性評価」(リスク分析を通じてシステム内の脆弱性をリスト化し分類する)を検討しているだけでなく、「監査証跡」システムの維持に関する具体的な方針も定めている。
サイバーセキュリティインシデントに関する通知:最後に、同省はサイバーセキュリティインシデント発生時の政府通知に関する基準を定めています。この基準が実施されれば、対象機関は「当該機関の正常な運営に重大な影響を及ぼす合理的な可能性のあるインシデント」について同省に通知することが義務付けられます。
「サイバーセキュリティインシデントが発生した場合、以下のいずれかに該当する場合には通知が必要となる:(1) ニューヨーク州法に基づく他の特定の通知規定を発動させるもの、(2) 当該事業体の取締役会に通知されるもの、または (3) 『非公開の個人健康情報』および『個人情報』…もしくは生体認証データの侵害を伴うもの」
要するに、NYDFSの書簡は、今後数か月における保険会社向けの3つの主要な積極的措置を提案している:
- 方針と手順:保険会社は(i)第1節に記載された全12の対象分野について方針と手順を整備し、(ii)それらの方針と手順が「当該事業体が利用する全てのアプリケーションのセキュリティを確保するために合理的に設計されている」ことを確認すべきである。
- CISO:保険会社は従業員をCISOとして任命し、当該CISOが毎年、監督当局および当該組織の取締役会に報告する体制を整備すべきである。
- 第三者ベンダー契約の更新:保険会社は、第2節で言及された6つの契約条項を含めるよう、第三者サービスプロバイダー契約を更新すべきである。
リーガルニュースアラートは、クライアントや関係者の皆様に影響を与える喫緊の懸念事項や業界問題に関する最新情報を提供するという、当社の継続的な取り組みの一環です。本更新内容に関するご質問や、このトピックについてさらに議論をご希望の場合は、担当のフォーリー弁護士または下記までご連絡ください。
トーマス・R・ハードリック
パートナー
ミルウォーキー、ウィスコンシン州
414.297.5812
[email protected]
ケビン・G・フィッツジェラルド
パートナー
ミルウォーキー、ウィスコンシン州
414.297.5841
[email protected]
J.J. Silverstein
アソシエイト
ミルウォーキー、ウィスコンシン州
414.319.7075
[email protected]
