マーケットトレンド の カナダサイバー(賠償責任)保険 産業
進化する規制改革が市場を牽引する
欧州ではGDPR、カナダでは個人情報保護・電子文書法(PIPEDA)が施行され、企業はサイバーセキュリティに対して消極的なアプローチから積極的なアプローチへと移行しつつある。保険会社は現在、システム・セキュリティと個人情報を安全に保管・利用する能力に、より大きな関心を寄せている。カナダは、サイバー/プライバシー侵害の通知義務に関する連邦法を世界で最初に制定した国のひとつである。カナダの法律は、企業が最低限何をすべきかを示していないため、カナダの企業が従うべき最低基準は存在しない。その結果、カナダの文脈ではまだかなりのサイバー無関心が存在する
PIPEDAとGDPRの両方が、企業のリスク移転の方法としてサイバーポリシーの認知度向上をもたらしたのは確かだが、規制による罰金はごくわずかであり、特に製造業や建設業のように個人を特定できる重要な情報(PII)を保有していない企業にとっては、日常的なカナダの企業にとって意味のあるクレーム活動は行われていない。第三者や規制当局の措置によるサイバー賠償請求は、全体の4%にも満たない。しかし、個人情報保護法は、企業に要求額を支払わせるために機密データを流出させる新しいランサムウェアの亜種と相互作用している。ランサムウェアは、データ流出が起こるずっと以前から、常に重大性に左右される出来事と考えられていました。1日あたりの利益の損失や、潜在的に高度で複雑なネットワークを完全にゼロから作り直すことによる事業中断コストを合計すると、その理由が容易にわかります。機密データが危険にさらされている今、犯罪者によってデータが閲覧されたか、または流出されたかを判断するためにデューデリジェンスを実施しなければならないという意味合いがもたらされている。その結果、企業は個人情報保護ガイドラインに基づき、顧客に適切な通知を作成・発行するために、費用のかかるリーガルサービスを導入しなければならなくなる可能性がある
PIPEDAでは、プライバシーコミッショナー事務局(Office of the Privacy Commissioner [OPC])は、「影響を受ける個人に重大な危害を及ぼす現実的なリスクを引き起こす可能性のある情報が含まれる場合、その状況を報告しなかったとして最高10万ドルの罰金と罰則を適用することができる。つまり、報告義務化は、組織がいつ報告する必要があり、情報漏洩後に何をする必要があるかについての指針を与えるものである。最新の国勢調査データによると、カナダの企業の大部分は小規模であり、その割合は97.9%である。12人規模の製造業に対する10万ドルの罰金は、フェイスブックやグーグル、アップルに対する10万ドルの罰金よりも、その企業の支払能力にはるかに重大な影響を与えるだろう。つまり、カナダの中小企業は、この法律が、真剣に取り組まなければその結果に直面することを示唆していることを認識すべきである