Risk Management
【Web特別版】
4月号
- 【Web特別版】ハイブリッド職場環境におけるサイバー衛生を改善する
- 【Web特別版】生体認証責任に関する保険での検討事項
【Web特別版】生体認証責任に関する保険での検討事項
コート T. マローン, ジェイド W. ソブ[*]
米国各地は、州議会がさまざまな程度の賠償リスク遭遇可能性を生み出す新たな生体認証プライバシー法を導入・成立させている。これらの新しい法律は、生体認証情報の収集と利用、および生体認証責任へのリスク遭遇可能性をカバーするために利用する保険契約の双方の評価を企業に促すものである。
現在、4州(イリノイ、テキサス、バージニア、ワシントン)が生体認証情報を収集する前に通知し同意を得ることを明確に義務付ける生体認証プライバシー法を制定しており、その他の多くの州も、より限定的な方法で生体情報の収集と取り扱いを規制している。2008年に制定されたイリノイ州の先駆的な生体認証情報プライバシー法(BIPA)は、既存の州の生体認証プライバシー法の中で最も厳しいものであり、いくつかの州では、程度の差こそあれ、この法律をモデルにした法案を審議中である。2022年第1四半期だけでも、7つの州がBIPAの主要な特徴を共有する生体認証プライバシー法を導入した。これらの法案は、私的な訴因を作り出すか否か、違反ごとに査定される罰金の額、通知期間および是正の機会を認めるか否かなどの要因によって、様々な影響を及ぼす可能性がある。
BIPAは、現在、制定されている州法の中で唯一、生体認証プライバシー侵害によって損害を受けた個人に対する私的訴権を可能にしている(ニューヨーク市の法律も私的訴権を認めているが、賠償責任リスク遭遇可能性は救済期間によって軽減されている)。BIPAは、過失による違反には1,000ドル、故意または無謀な違反には5,000ドルを上限とする法定賠償額を規定している。BIPAは、広範な集団訴訟への道を開く私的訴権のため、グーグルによる1億ドルの和解を含む、すべての生体認証情報プライバシー法の中で最も大きな和解をもたらした。
昨年10月、BIPA違反で初めて判決に至った裁判で、シカゴの連邦陪審は集団訴訟の原告に2億2800万ドルの評決を下した。問題のロジャーズ対BNSF鉄道会社事件では、トラック運転手が、BNSF鉄道会社が書面での通知の許可を得ることなく、データ保持または廃棄スケジュールを公表せずに、同社の車両基地で従業員の指紋をスキャンして保持したとして、BIPA違反を主張した。5日間の裁判の後、陪審員はBNSF社が「無謀にも」あるいは「意図的に」45,600回BIPAに違反したと認定。これは指紋を登録したトラック運転手の推定数と一致した。
保険業界は、このような生体認証による賠償責任リスク遭遇可能性の拡大に注目する可能性が高い。生体認証賠償請求に直面した保険会社は、機密情報の開示やデータ関連の賠償責任に関する一般的な免責条項を行使してきたが、多くの裁判所は、このような免責条項はBIPA違反に対する補償を妨げるものではないと判断してきた。したがって、保険会社は、より具体的な免責条項を盛り込むようになり、一部の一般賠償責任保険や雇用慣行賠償責任保険にはすでに記載されている。ロジャーズ判決の後には、サイバー保険や役員保険など、他の保険でもこのような免責事項が一般的になる可能性がある。
2億2800万ドルの裁定額の根拠は、BIPAの保険金請求の和解交渉にも影響を与える可能性がある。進取の気性に富む保険会社は、ロジャーズが「無謀または故意」の違反に対する評決の可能性を高め、保険会社は潜在的に除外される「故意」の行為を構成すると主張する可能性がある。しかし、ロジャーズの陪審員は、BNSFの行為が無謀であったか、意図的であったかを判断しなかった。さらに、ロジャーズが認識しているように、会社が故意に法律に違反したかどうかの問題は、しばしば判例ごとの事実に依存するため、ロジャーズの判例を広範な一般論には適用できない。
最近制定され、施行中の生体認証プライバシー法とはかなり異なるが、イリノイ州のBIPAによって生じた賠償責任リスク遭遇可能性は、他の州にも広がってきている。いくつかの新しい法律や提案された法律では、企業は意図的に生体認証プライバシー要件に違反しなくても罰金を請求される可能性があり、州によっては救済期間を認めていないため、必要な予防措置をとらない企業に対する責任はほぼ確実なものとなっている。前述したように、私的訴権はイリノイ州以外の州にも広がる可能性が高い。
生体認証による賠償責任リスク遭遇可能性の拡大に直面した企業は、現在、生体認証情報を利用または保存しているかどうかにかかわらず、自社の保険契約がこの種の法定損害賠償を補償しているかどうかを確認するための措置を講じなければならない。既存の保険契約については、ブローカーや補償範囲カウンセラーと協力して、CGL、EPL、サイバー、さらにはD&O補償範囲など、対応可能なすべての保険を、関連する州のプライバシー法および標準形式のCGLおよびEPL保険での補償をほぼ支持する既存の判例の両方に照らして見直さなければならない。特に重要なのは、保険会社が補償を拒否するために拠り所としてきた最も一般的な免責条項をこれらの保険証券で確認し、州裁判所の判決がその免責条項をどのように解釈しているかを理解することである。既存の保険契約に現行の生体認証プライバシー法の下での補償に有利な条件が含まれていたとしても、企業は、新規または更新の保険契約において、生体認証プライバシー法の違反に対するBIPA固有の除外事項または二次限度額によって、保険業界のリスク遭遇可能性を制限する取り組みに極めて注意しなければならない。
保険上の権利を保護することに努めることに加えて、企業は製品を販売したりサービスを提供したりするすべての州を含め、州のプライバシー法の下で潜在的な賠償責任を評価するために、常に警戒し、専門家に相談しなければならない。
。
トピックス
サイバー、新興リスク、例外規定、保険、法的リスク、規制
注意事項:本翻訳は“Insurance Considerations for Biometric Liability ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2023/04/13/insurance-considerations-for-biometric-liability) April 2023, をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
サリー・R・カレーは弁護士事務所ランバーガーカークのパートナー。雇用と商業訴訟の分野で業務を行っている。
- 【Web特別版】留学プログラムのリスクを管理する
- 【Web特別版】戦略的取り組みのためのリスク対応能力の測定方法
【Web特別版】戦略的取り組みのためのリスク対応能力の測定方法
ヨハン・ニステッド[*]
ERMは、全体的なリスクポートフォリオ・マネジメントへと進化している。これは、ハイリターンの戦略的事業取り組みに対して賢明なリスクテイクの余地を創出するために、不必要なリスクを排除することを意味する。リスクを総体的なレベルで管理することは、以下のようなものを含む、挑戦的な質問を提起する。
組織のリスク対応能力はどの程度か。
総計されたリスクテイクがどれだけ良識的なものであるかを、どのように評価するのか。
もし我々のリスク許容度が、予期せぬキャッシュフローの脅威に備えてキャッシュバッファーを必要とする場合、どうすればよいか。
これらの質問に対する答えは、組織のリスク対応能力とリスク許容度を理解することに依存する。
リスク対応能力を推定するためのトップダウン・アプローチ
自社のリスク対応能力の見積り作業を、気が滅入るようなものにしてはいけない。原則としては、極めて単純な作業にとどめておくべきである。開発に時間がかかり、いざ実践しようとする時には役に立たなくなってしまうような、過度に複雑なアプローチに従事するより、比較的迅速かつ単純な方法で分析するほうが良い場合が多い。また、競合する取り組みの、それぞれの正確な評価に焦点を当てるよりも、それらの取り組みの相対的な価値を理解する方が、意思決定には有益な場合が多い。
ステップ1: 重要な財務指標の閾値を特定する
組織のリスク能力は、通常、企業の最低信用格付けへのコミットメントや財務債務条項の遵守など、特定の閾値によって制約される。その目的は、一般的には中期的な視野にわたって、そのような重要な閾値を特定し、決定することである(例えば、次の8四半期にわってその期ごと財務レバレッジを最大にする)。
ひとつ例を挙げると、信用格付機関は、どのような財務指標が割り当てられた場合に格付を上方または下方に押し下げるかを示す報告書を、株式発行主体に応じて提供している。投資適格(Baa3/BBB-以上と定義)など、特定の信用格付けやカテゴリーにとどまると判断された企業については、それらの最低格付けに対応する財務指標を、最低基準値として定義することになる。この文脈での一般的な財務指標は、負債、EBITDA、金利負担に基づくレバレッジ・レシオとカバレッジ・レシオの2つである。
ステップ2: 過去の財務指標の変動を究明する
重要な財務指標が決定されたら、次のステップは、これらの指標の予測における将来の不確実性(「変動」と呼ばれる)を推定することである。将来の期待変動を推定するための一般的なアプローチの1つは、過去の財務諸表データの変動幅を測定することである。
例えば、負債とEBITDAが、特定された重要なレバレッジの閾値内に収まるために最も適用できる財務指標であるとする。このようなレバレッジの閾値内にほどよく収まる可能性を評価するためには、予測期間中の負債とEBITDAの合理的な変動を判断する必要がある。負債とEBITDAの過去の変動は、このような財務指標の将来の変動を推定するための出発点となるであろう。この過去の変動に関する分析を行う際、企業はしばしば、将来の業績に影響する可能性が低い要因を排除しようと、過去のデータを「調整」することが多い。この中には、将来の変動予測の妥当性を高めるために、報告された財務データから取り除かれた一時的な項目や外れ値事象が含まれる。
ステップ3: 基本ケースシナリオを作成して、戦略的取り組みを評価する
重要な財務指標とそれに関連する閾値を特定し、これらの指標の予測値を中心に将来の合理的な変動を推定することで、自社の業績に関する基本ケースの、確率論的モデルを構築することができる。この確率論的モデルは、将来の財務指標の、推定された変動性を利用し、従来の「点推定」による予測の周辺に将来の結果の合理的な分布を提供する。この基本ケースは、事業をそのまま(すなわち、熟慮された戦略的取り組みを考慮せずに)表している。
財務予測に推定された変動を適用することで、基本ケースの確率論的モデルを構築することができる。これは、先に特定された閾値に準拠する可能性を評価するために行われる。この基本ケースに基づいて、前述の基本ケースの上にシナリオを重ねることによって、M&Aや事業転換など、さまざまな、おそらく競合する戦略的取り組みを評価することができる。
これは、M&Aオークションによりうまく対処しようとするCEOやCFOにとって価値のあるツールである。買収候補者は、買収参加企業に新たな入札を提供するために、非常に迅速に行動しなければならない場合が多い。こうして、いわゆる「勝者の呪い」の可能性を減らすことができる。その代わり、一刻を争うような状況でも、情報に基づいた意思決定を行うことで、意思決定者のストレスが軽減される。
戦略的取り組みのためにリスク対応能力を創出する
戦略的取り組みを計画する時間がある場合、基本ケースシナリオの上に複数の緊急事態シナリオを構築すれば、どのような緩和策で戦略的取り組みのための十分なリスク対応能力の余裕を得られるかについて、洞察を得ることができる。このように、確率が気に入らなければ、既存のリスクを排除することで積極的に余裕を獲得することができる。これこそが、組織全体でリスクを総合的に捉え、リスク・ポートフォリオを全体として見る、総合的リスクマネジメントの真髄である。
ここで重要なのは、排除すべき、本業に属さない利益不足のリスクを特定することである。外国為替や商品市場への投資は、ほとんどの非金融企業にとっては中核的ではないリスクのよくある例である。このようなリスクは、あなたの会社にとっては中核的ではないかもしれないが、金融市場のプレーヤーにとっては中核的なものである可能性が高く、したがって、低いフリクショナル・コストで軽減できるかもしれない。
排除すべきリスクを特定した後、望まないリスクを減算するために、ありうる閾値の見積(コンプライアンス・プロフォーマ)を再評価することができる。未知のリスクやモデル化されていないリスクを考慮するため、あるいはリスク許容度への懸念から、リスク推定により保守的なアプローチを必要とする場合には、モデリングにドルベースでのリスクバッファを追加することが一般的である。例えば、ある企業は、未知のリスク要因を補うために、すべてのシナリオの尤度計算において、1億ドルの突発事象向けキャッシュフローの不足を許容することを望むかもしれない。これは、オーバーレイ・シナリオとしてモデルに組み込むことができる。
以下の表は、組織のリスク・ポートフォリオの各リスクタイプに対して、どのようなアクションを検討すべきかを概念化するために使用できるフレームワークを示している。例えば、戦略的適合性(上の行)と高い利益(右の列)の両方をもたらすリスクについては、利益を追求するためにリスクテイクを増強することに焦点を当てている。その逆であれば、このカテゴリーのリスクテイクを減らし、より良い取り組みのための余地を残すためにリスク対応能力の解放を目指すことになる。
要約すると、組織の基本ケースでのリスク対応能力を測定し、戦略的取り組みのためにシナリオを追加することで、リスク許容度範囲内に収めながら、賢明なリスクを取ることができる。リスク対応能力に余裕がない場合は、リスクを排除または軽減することにより、余地を増やすことができる。結果として、調整されたリスク・ポートフォリオは、リスク調整された利益を追求する上で、慎重な戦略的リスク取得に貢献するかもしれない。
トピックス
全社的リスクマネジメント、リスクマネジメント、戦略的リスクマネジメント
注意事項:本翻訳は“How to Measure Risk Capacity for Strategic Initiatives”, Risk Management Site (https://www.rmmagazine.com/articles/article/2023/04/19/how-to-measure-risk-capacity-for-strategic-initiatives) April 2023,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ヨハン・ニステッドはニステッド・エンタープライズ・ソルーションズLLC社長兼創立者。コナグラ・ブランズ(最高リスク責任者として)、リーバイ・ストラウス、RR ドネリー、クラフト・フーズなど多くの企業でリスクマネジメントを行っている。
- 【Web特別版】AI対応の保険ツールがリスクマネジメントに与える影響
- 【Web特別版】グリーンウォッシング訴訟リスクへの対処方法
- 【Web特別版】5G技術のリスク、機会および影響