数据分类可防止保险数据泄露的5种方法

保险公司收集和处理大量投保人数据，包括个人身份信息（PII）和受保护的健康信息（PHI），以及必须保护的敏感员工和公司信息。机密数据是业务的核心，更有效地收集和分析机密数据的公司具有竞争优势。随着文件共享和同步技术成本的降低，精算师能够实时分析和共享数据。但是，这也增加了敏感业务和消费者数据的不必要副本的数量。

如果不加以控制，敏感数据的扩散会使网络犯罪分子更容易获取，并增加敏感信息被错误处理的可能性。保护此类信息免受网络攻击和错误处理在技术上具有挑战性，成本高昂。但为了阻止数据泄露事件，您可以采取一些关键步骤。Spirion首席执行官托德·费曼（Todd Feinman）举例说明了保险公司如何利用数据分类来降低数据被盗风险和代价高昂的违规行为。

遗留保险文书工作流程由大量进出多个来源的入站和出站文档组成。例如，员工扫描入站纸质文档，然后通过电子邮件、传真或在线表单提交。翻译成扫描图像的文书包含大量敏感数据。此外，扫描文档或身份证的JPEG是非结构化数据的最佳示例。传统系统无法将传真和扫描的文档识别为敏感数据，需要像原型PII（社会安全号码、生日等）一样严格保护，这将使客户面临风险。传统保险计费系统是PII和敏感信息的另一个相关威胁载体，使其进入当前系统和数据存储库，需要对其进行补救和密切监控。

一个主要的隐私问题存在于电子文档中，如PDF和其他可共享文件。这些非结构化文档可以包含与结构化数据库一样多的敏感信息。PDF文档有一种潜在的格式，它可能会造成重大的安全威胁——PDF具有数据层。例如，在PDF文档中，用户可以在数字旁边键入一个单词“Social Security”，但在PDF的引擎盖下，“Security”一词中的字母“e”可能位于50^th层，而“t”和“y”字母可以放在第一层上。这些多层结构使得简单的光学字符识别（OCR）变得困难。数据分类工具能够将各层组合在一起并作为一个整体进行分析，这对于确保敏感数据不会在普通PDF文档电子邮件交换的混乱中被浏览和丢失至关重要。

在保险行业，客户旅程有两个主要步骤。第一步是注册和入职阶段。第二步是索赔程序。在这两种情况下都会发生PII交换，并且都有一个共同的PII输入源—传真机。特别是在索赔过程中，客户发送保险公司PII时，根本没有考虑过——毕竟这只是他们用笔填写的传真表格。的确，使用公共交换电话网（PSTN）发送传真本质上是安全的。入侵PSTN需要直接人工接入电话线，即使文件被截获，也会显示为噪音，无法破译。但不幸的是，对于保险公司来说，“安全性”并不意味着文档在发送过程中有多安全。公司必须确保数据安全地发送、接收和存储。按照今天的标准，保险公司正在以一种不受控制的、非正统的方式接收PII——通过传真文件，然后扫描到系统中。

有一些特定的保险单要求并记录比其他保险单更多的个人所得税。例如，关键人物保险单会记下你的社会保险号码、血液检测结果、身体检查结果等等。他们正在收集大量敏感数据——包括金融和健康相关数据——可以说是任何行业中最大的PII收集过程。但这种广泛的PII收集过程始于一个地方——在线提交表单。这些保险提供商拥有申请这些广泛保单的每个人的信息，无论他们是否通过完整流程申请。想象一下，如果一个黑客为了申请者的信息而攻击了一个历史数据库，并拿着它索取赎金。由保险提供商确保他们知道该用户提交的敏感数据存放在何处，数据发现和分类工具可以帮助实现这一点。在消费者方面，申请人应确保在通过在线表格提交之前阅读了细则，并了解其敏感数据的保存位置和保存时间，以保护自己。

引人注目的数据泄露事件继续暴露出数百万消费者的数据，暴露出当前数据保护实践和技术的差距。监管机构的回应是加大执法力度并引入新的要求。全国保险专员协会（NAIC）也发布了《有效网络安全原则：保险监管机构指南》。NAIC文件为保险监管机构和公司提供了最佳实践，重点是保护该行业的敏感数据免受网络攻击。NAIC提供的指导包括确保实体持有的机密文件和PII免受网络安全风险的保护。

这不是秘密，如果消费者、员工或公司记录被破坏，后果可能会很严重。违反财务、个人或健康记录可能导致身份盗窃，从而破坏个人的财务、信用和声誉。受害者可以对其数据的处理者（包括雇主和保险公司）提起诉讼。

保险公司必须将数据发现和分类作为第一步，以便充分了解其敏感数据的数量和位置，以保持合规性，避免数据泄露。

相关的：数据分类可防止教育数据泄露的5种方法