オーストラリア監督官庁(APRA)は、2022年10月の重大なサイバー事件をめぐるAPRAの審査に続き、今日、メディバンク・プライベートに対して行動を起こしたことを発表しました。
事件に関連する事柄を検証した結果、APRAは、メディバンクの情報セキュリティ環境で特定された弱点を反映して、メディバンクの資本適正要件を2億5000万ドル引き上げることを発表しました。
2023年7月1日から適用される資本調整は、新しい個人健康保険(PHI)資本枠組におけるメディバンクの運用リスク手数料に適用されます。APRAの満足度に合致した合意に基づいたメディバンクの是正プログラムが完了するまで、この調整は維持されます。APRAはまた、ガバナンスとリスク文化に特に焦点を当てて、メディバンクの対象技術のレビューを実施します。
規制当局は、メディバンクがシステムへの不正アクセスを許可した具体的な制御上の弱点に既に対処している一方、セキュリティ環境とデータ管理をさらに強化するためには、さらなる作業が必要としています。
APRAメンバーのスザンヌ・スミスは、2022年10月のサイバー事件がオーストラリアで経験した中で最も重大なデータ侵害の一つであったと述べました。
スミス氏は、「この行動を取ることで、APRAはメディバンクが是正プログラムを迅速化することを求めています」と述べています。
適切な場合には、APRAは、エンティティが制御上の不備や弱点に対処するためのさらなる対策を講じるでしょう。
