정보 데이터 보안은 최근 몇 년간 보험 업계의 주요 관심사로 부상해 왔으며, 특히 보험사, 보험 중개인 및 기타 보험 면허 보유자들의 정보 보안 프로그램(ISP) 개발이 주목받고 있습니다. 뉴욕주는 2017년 최초로 보험 데이터 보안 요건을 도입했습니다. 이후 위스콘신을 포함한 21개 주가 보험 데이터 보안 법률을 제정했으며, 이는 대체로 2017년 제정된 전미보험감독관협회(NAIC)의 보험 데이터 보안 모델 법률 ("모델 법률")을 반영한 형태입니다. 또한 2022년 11월 기준 최소 두 개의 관할 구역(펜실베이니아주 및 컬럼비아 특별구)에서 보험 데이터 보안 법률이 계류 중입니다.
뉴욕 규정 및 모델 법률의 주요 요건 중 하나는 면허 보유자(일반적으로 해당 주의 보험법에 따라 면허를 취득했거나 취득해야 하며, 해당 주에 거주지를 둔 모든 사람으로 정의됨)가 ISP를 수립하고 시행해야 한다는 점이다. 모델 법률에 따르면, ISP는 다음을 이행해야 한다:
(1) 비공개 정보의 보안 및 기밀성과 정보 시스템의 보안을 보호할 것;
(2) 비공개 정보 및 정보 시스템의 보안 또는 무결성에 대한 위협이나 위험으로부터 보호하기;
(3) 비공개 정보에 대한 무단 접근 또는 사용을 방지하고, 소비자에게 발생할 수 있는 피해 가능성을 최소화하며;
(4) 비공개 정보의 보존 기간을 정의하고 정기적으로 재평가하며, 더 이상 필요하지 않을 경우 이를 파기하는 절차를 마련한다.
모델 법률 제4조(B). 면허 취득자는 자신의 보험 활동의 규모, 복잡성, 성격 및 범위에 상응하도록 정보보안정책(ISP)을 설계해야 한다. 모델 법률 제4조(A).
뉴욕주에서만 적용되는 사항으로, 뉴욕주 보험법에 따라 면허를 취득한 모든 사람은 매년 뉴욕주의 ISP 요건을 준수한다는 사실을 인증해야 합니다. 23 NYCRR 500.17(b). 반면 모델법은 보험사가 자국 보험 규제 기관에 ISP 준수 여부를 인증하기만 하면 됩니다. 모델법에 따르면, 보험 중개인 등 다른 면허 소지자는 공식적인 인증을 할 필요가 없습니다. 모델법 제4조(I항).
위스콘신주는 최근 2021년 위스콘신 법안 73호를 제정하여 ISP 인증에 대해 중도적 접근 방식을 취하고 있습니다. 구체적으로, 위스콘신주 법전 § 601.952(8)은 위스콘신주에 본사를 둔 모든 면허 소지자가 매년 3월 1일까지 ISP 준수 인증서를 제출할 것을 요구합니다. 위스콘신주는 앞서 언급된 모델 법률의 면허 소지자 정의를 채택했는데, 여기에는 위스콘신주 보험법에 따라 면허를 취득했거나 취득이 요구되는 위스콘신주 소재 모든 개인(보험사, 보험 중개인 등 포함)이 포함됩니다. 위스콘신주 법전 § 601.95(7). 위스콘신주는 뉴욕주 외에 비보험사 면허 소지자에게 ISP 준수 인증을 요구하는 최초의 주입니다.
The Wisconsin Office of the Commissioner of Insurance (OCI) has provided some guidance regarding the annual ISP certification on their website. OCI’s website clarifies that: (1) insurers will complete their certification as part of the insurer’s annual financial submissions; (2) intermediary firms (i.e., business entity producers) must submit the certification form online</a>; and (3) individual producers are not required to submit a certification form based on the presumption that individuals meet the “fewer than 50 employees” exemption under Wis. Stat. § 601.952(9)(a)(3).
위스콘신주에 소재한 중개업체는 다음 기준 중 하나를 충족할 경우 연간 사이버보안 인증 의무가 면제될 수 있다: (1) 연말 총자산이 1천만 달러 미만인 경우; (2) 연간 총매출이 5백만 달러 미만인 경우; 또는 (3) 라이선스 보유자를 위해 주당 최소 30시간 근무하는 직원(독립 계약자 포함)이 50명 미만인 경우. 위스콘신주 법령 § 601.952(9)(a). 위스콘신주에 소재한 중개업체는 또한 FINRA 요건, 농신용관리청(Farm Credit Administration) 요건 또는 HIPAA와 관련하여 ISP(정보보안정책)를 유지하는 경우 인증 요건 및 위스콘신주 보험 데이터 보안 법률 전반에서 면제될 수 있습니다. 위스콘신주 법령 § 601.951(2).
그러나 모든 면제 중개업체는 여전히 2023년 3월 1일까지 상기 명시된 대로 사이버 보안 인증을 완료해야 합니다. OCI에 따르면, 해당 업체는 온라인으로 양식을 제출할 때 자사 사업에 적용 가능한 면제 사항을 주장할 수 있습니다. OCI는 이러한 면제 업체들에게 매년 면제 사항을 인증하도록 요구할지 여부를 아직 결정하지 않았습니다.
따라서 위스콘신 주에 소재한 중개업체들은 해당 업체의 특정 ISP 요구사항 및 관련 인증 요건을 검토하기 위해 규제 법률 자문과 상담할 것을 권장합니다.
