ニューヨーク州金融サービス局（NYDFS）サイバー保険リスクフレームワーク （保険通達2021年第2号）at 2021.02.04

こんにちは、丸山満彦です。

ニューヨーク州金融サービス局（NYDFS）サイバー保険リスクフレームワーク保険通達2021年第2号）を2021.02.04に公表していました。。。

● New York Department of Financial Services (NYDFS)

・2021.02.04 Insurance Circular Letter No. 2 (2021) Cyber Insurance Risk Framework

サイバー保険リスクフレームワークは7つの実践？からなっていますね。。。

 

原文	仮訳
1. Establish a Formal Cyber Insurance Risk Strategy	1. 正式なサイバー保険リスク戦略の策定
Insurers that offer cyber insurance should have a formal strategy for measuring cyber insurance risk that is directed and approved by senior management and the board of directors, or the governing body if there is no board.[16]  The strategy should include clear qualitative and quantitative goals for risk, and progress against those goals should be reported to senior management and the board, or the governing body if there is no board, on a regular basis.  The strategy should incorporate the six key practices identified below.	サイバー保険を提供する保険会社は、サイバー保険リスクを測定するための正式な戦略を持つべきである。 この戦略には、リスクの質的・量的な目標が明確に含まれているべきであり、目標に対する進捗状況は、定期的に上級管理職と取締役会、取締役会がない場合は運営機関に報告されるべきである。 戦略には、以下の6つの重要な実践方法を組み込むべきである。
2. Manage and Eliminate Exposure to Silent Cyber Insurance Risk	2. サイレントサイバー保険リスクの管理と排除
Insurers that offer cyber insurance should determine whether they are exposed to silent or non-affirmative cyber insurance risk, which is risk that an insurer must cover loss from a cyber incident under a policy that does not explicitly mention cyber.  Even property/casualty insurers that do not explicitly offer cyber insurance should evaluate their exposure to silent risk and take appropriate steps to reduce their exposure.  Silent risk can be found in a variety of combined coverage policies and stand-alone non-cyber policies, including errors and omissions, burglary and theft, general liability and product liability insurance. Cyber risk likely has not been quantified or priced into these policies, which exposes insurers to unexpected losses.	サイバー保険を提供している保険会社は、サイレントリスクとは、明示的にはサイバーに言及していない保険契約の下で、保険会社がサイバー事故による損失をカバーしなければならないリスクである。 サイバー保険を明示的に提供していない損害保険会社であっても、サイレントリスクのエクスポージャーを評価し、エクスポージャーを低減するための適切な措置を講じるべきである。 サイレントリスクは、過失傷害、強盗・盗難、損害賠償責任保険、製造物責任保険など、さまざまな複合保険や単独のサイバー保険以外の保険に見られる。 サイバーリスクは、これらの保険には定量化されておらず、価格設定されていない可能性が高いため、保険会社は予期せぬ損失にさらされている。
Ultimately, insurers should eliminate silent risk by making clear in any policy that could be subject to a cyber claim whether that policy provides or excludes coverage for cyber-related losses. Elimination of this risk will take some time, given the many existing policies that can contain silent cyber risk.  Insurers should therefore also take steps to mitigate existing silent risk, such as by purchasing reinsurance.	最終的には、保険者はサイバークレームの対象となる可能性のある保険契約において、その保険契約がサイバー関連損害に対する補償を提供しているか否かを明確にすることで、サイレントリスクを排除すべきである。サイレントサイバーリスクを封じ込めることができる既存の保険が多数存在することを考えると、このリスクを排除するには時間がかかるだろう。 そのため、保険者は再保険を購入するなど、既存のサイレントリスクを軽減するための対策を講じるべきである。
3. Evaluate Systemic Risk	3. システミック・リスクの評価
As part of their cyber insurance risk strategy, insurers that offer cyber insurance should regularly evaluate systemic risk and plan for potential losses. Systemic risk has grown in part because institutions increasingly rely on third party vendors and those vendors are highly concentrated in key areas like cloud services and managed services providers.  Insurers should understand the critical third parties used by their insureds and model the effect of a catastrophic cyber event on such critical third parties that may cause simultaneous losses to many of their insureds.  Examples of such events could include a self-propagating malware, such as NotPetya, or a supply chain attack, such as the SolarWinds trojan, that infects many institutions at the same time, or a cyber event that disables a major cloud services provider.  A catastrophic cyber event could inflict tremendous losses on insurers that may jeopardize their financial solvency.	サイバー保険のリスク戦略の一環として、サイバー保険を提供する保険会社は、システミックリスクを定期的に評価し、潜在的な損失に備えた計画を立てる必要があります。システミックリスクが拡大しているのは、金融機関がサードパーティのベンダーに依存するケースが増えていることと、それらのベンダーがクラウドサービスやマネージドサービスプロバイダーなどの重要な分野に集中していることが一因である。 保険会社は、被保険者が利用している重要なサードパーティを理解し、多くの被保険者に同時に損害をもたらす可能性のある重要なサードパーティに対する破局的なサイバー事象の影響をモデル化しなければならない。 このような事象の例としては、NotPetya のような自己増殖型のマルウェアや、SolarWinds トロイの木馬のようなサプライチェーン攻撃が多くの機関に同時に感染したり、大手クラウド・サービス・プロバイダを不能にするサイバー事象などが考えられる。 壊滅的なサイバーイベントは、保険会社に莫大な損失をもたらし、保険会社の財政的な支払能力を危うくする可能性がある。
Insurers also should conduct internal cybersecurity stress tests based on unlikely but realistic catastrophic cyber events.  Accurate stress testing requires accounting for both silent and affirmative risk.  Moreover, because exposure to catastrophic cyber events varies across business industries and by type and size of the insured, insurers should track the impact of stress test scenarios across the different kinds of insurance policies they offer as well as across the different industries of their insureds.  The cyber insurance risk strategy should account for possible losses identified in stress tests.	また、保険会社は、起こりそうもないが現実的な破局的なサイバー事象に基づいて、内部的なサイ バーセキュリティのストレステストを実施すべきである。 正確なストレステストには、サイレントリスクとアファメーションリスクの両方を考慮する必要がある。 さらに、壊滅的なサイバー事象へのエクスポージャーは、業種や被保険者の種類や規模によって異なるため、保険会社は、提供する保険契約の種類や被保険者の業種の違いに応じて、ストレステストシナリオの影響を追跡する必要がある。 サイバー保険のリスク戦略は、ストレステストで特定される可能性のある損失を考慮しなければならない。
4. Rigorously Measure Insured Risk	4. 保険リスクの厳格な測定
Insurers that offer cyber insurance should have a data-driven, comprehensive plan for assessing the cyber risk of each insured and potential insured.  This commonly starts with gathering information regarding the institution’s cybersecurity program through surveys and interviews on topics including corporate governance and controls, vulnerability management, access controls, encryption, endpoint monitoring, boundary defenses, incident response planning and third-party security policies.  The information should be detailed enough for the insurer to make a rigorous assessment of potential gaps and vulnerabilities in the insured’s cybersecurity.  Third-party sources, such as external cyber risk evaluations, are also a valuable source of information.  This information should be compared with analysis of past claims data to identify the risk associated with specific gaps in cybersecurity controls.	サイバー保険を提供する保険者は、各被保険者および潜在的な被保険者のサイバーリスクを評価するために、データに基づいた包括的な計画を策定しなければならない。 これは一般的に、企業統治と統制、脆弱性管理、アクセス制御、暗号化、エンドポイント監視、境界防御、インシデント対応計画、サードパーティのセキュリティポリシーなどのトピックについての調査やインタビューを通じて、その機関のサイバーセキュリティプログラムに関する情報を収集することから始まる。 これらの情報は、保険者が被保険者のサイバーセキュリティにおける潜在的なギャップや脆弱性を厳密に評価するのに十分な詳細なものでなければならない。 外部のサイバーリスク評価などの第三者の情報源も貴重な情報源である。 これらの情報は、過去の保険金請求データの分析と比較して、サイバーセキュリティ対策の特定のギャップに関連するリスクを特定すべきである。
5. Educate Insureds and Insurance Producers	5. 被保険者と保険生産者の教育
Insurers that offer cyber insurance have an important role to play in educating their insureds about cybersecurity and reducing the risk of cyber incidents.  Insurers should strive to offer more comprehensive information about the value of cybersecurity measures and facilitate the adoption of those measures.  Insurers should also incentivize the adoption of better cybersecurity measures by pricing policies based on the effectiveness of each insured’s cybersecurity program.	サイバー保険を提供する保険者は、被保険者にサイバーセキュリティについて教育し、サイバーインシデントのリスクを軽減する上で重要な役割を担っている。 保険者は、サイバーセキュリティ対策の価値についてより包括的な情報を提供し、それらの対策の採用を促進するよう努力すべきである。 また、保険者は、各被保険者のサイバーセキュリティ・プログラムの有効性に基づいて保険料を設定することで、より優れたサイバーセキュリティ対策の採用を奨励すべきである。
Several leading insurers already offer their insureds guidance, discounted access to cybersecurity services, and even cybersecurity assessments and recommendations for improvement. We commend these initiatives, and insurers should continue to expand the type, scope and reach of such offerings.	すでにいくつかの大手保険会社は、被保険者にガイダンス、サイバーセキュリティサービスへの割引アクセス、さらにはサイバーセキュリティ評価や改善のための推奨事項まで提供している。 我々はこれらの取り組みを称賛するとともに、保険会社はこのような提供の種類、範囲、範囲を拡大し続けるべきである。
Insurers should also encourage and assist with the education of insurance producers who should have a better understanding of potential cyber exposures, types and scope of cyber coverage offered, and monetary limits in cyber insurance policies. Ensuring that the need for, benefits of, and limitations to cyber insurance are well understood and conveyed to insureds and potential insureds will facilitate the growth of a robust cyber insurance market.	保険者はまた、潜在的なサイバー・エクスポージャ、提供されるサイバー保険の種類と範囲、サイバー保険の金額限度額をよりよく理解しておくべき保険会社の教育を奨励し、支援すべきである。 サイバー保険の必要性、メリット、制限が十分に理解され、被保険者や潜在的な被保険者に伝えられるようにすることは、強固なサイバー保険市場の成長を促進することになるだろう。
6. Obtain Cybersecurity Expertise	6. サイバーセキュリティの専門知識を得る
Insurers that offer cyber insurance need appropriate expertise to properly understand and evaluate cyber risk.  Insurers should recruit employees with cybersecurity experience and skills and commit to their training and development, supplemented as necessary with consultants or vendors.	サイバー保険を提供する保険会社は、サイバーリスクを適切に理解し、評価するための適切な専門知識を必要とする。 保険者は、サイバーセキュリティの経験とスキルを持つ従業員を採用し、必要に応じてコンサルタントやベンダーを利用して補完しながら、彼らのトレーニングと開発に取り組むべきである。
7. Require Notice to Law Enforcement	7. 法執行機関への通知を義務付ける
Cyber insurance policies should include a requirement that victims notify law enforcement.  Some insurers that offer cyber insurance already engage in this best practice.  Notice to law enforcement may be beneficial both to the victim-insured and the public. Law enforcement often has valuable information that may not be available to private sources and can help victims of a cyber incident.  Law enforcement can help recover data and funds that were lost.  For instance, when funds are stolen through a business email compromise, law enforcement can sometimes block or reverse wire transfers if alerted of the incident promptly.  Notice to law enforcement also can enhance a victim’s reputation when its response to a cyber incident is evaluated by its shareholders, regulators, and the public.  Finally, information received by law enforcement can be used to prosecute the attackers, warn others of existing cybersecurity threats, and deter future cybercrime.	サイバー保険には、被害者が法執行機関に通知することを義務付けるべきである。 サイバー保険を提供する保険会社の中には、すでにこのベストプラクティスを実施しているところもある。 法執行機関への通知は、被害者と被保険者の双方にとって有益な場合がある。 法執行機関は、民間の情報源では入手できない貴重な情報を持っていることが多く、サイバー事件の被害者を支援することができる。 法執行機関は、失われたデータや資金の回収を支援することができる。 例えば、企業の電子メールの漏洩によって資金が盗まれた場合、法執行機関は、事件が発生したことを速やかに通知すれば、電信送金をブロックしたり、逆送金したりすることができる場合がある。 また、法執行機関への通知は、サイバー事件への対応が株主、規制当局、および一般の人々に評価される際に、被害者の評判を高めることにもなる。 最後に、法執行機関が受け取った情報は、攻撃者を訴追し、既存のサイバーセキュリティの脅威を他の人に警告し、将来のサイバー犯罪を抑止するために使用することができる。