เรื่องที่ 221 : ลูกจ้างของผู้เอาประกันภัยถือเป็นปัจจัยหลัก (Human Factor) ทำให้ไม่ได้รับความคุ้มครองจากภัยไซเบอร์ (Cyber Coverage) หรือเปล่า?
ปกติทั่วไป กรมธรรม์ประกันภัยไซเบอร์มักระบุข้อยกเว้นไม่คุ้มครองถึงความเสียหายที่มีสาเหตุมาจากการกระทำของลูกจ้าง (loss caused by an employee) ของผู้เอาประกันภัยเอง หรือบางครั้งเรียกรวม ๆ ว่า ปัจจัยจากมนุษย์ (human factor) ซึ่งถ้อยคำของข้อยกเว้นนี้จะกินความกว้างขนาดไหนกันแน่? เพราะฝ่ายบริษัทประกันภัยมักหยิบยกนำมาใช้ปฏิเสธความคุ้มครองอยู่บ่อยครั้ง
เรามาลองพิจารณาตัวอย่างคดีศึกษาเรื่องนี้กันนะครับว่า ในทางปฏิบัติ ศาลจะรับฟังเช่นใด?
ผู้เอาประกันภัยประกอบธุรกิจธนาคารได้จัดทำประกันภัยคุ้มครองการประกอบธุรกิจธนาคาร แบบครอบคลุม (Banker’s Blanket Bond Insurance) เอาไว้กับบริษัทประกันภัยแห่งหนึ่ง
วันที่ 28 ตุลาคม ค.ศ. 2011 ได้มีคนร้ายเจาะระบบโอนเงินของธนาคารผู้เอาประกันภัย สูญเสียเงินไป 485,000 ดอลลาร์สหรัฐ (หรือเทียบเท่า 16,854,962.50 บาท) และได้รีบแจ้งเหตุให้บริษัทประกันภัยของตนรับทราบโดยทันที
หนึ่งปีผ่านไป ก็ยังไม่มีคำตอบที่ชัดเจนกลับมาจากบริษัทประกันภัยรายนั้น
วันที่ 26 ตุลาคม ค.ศ. 2012 ธนาคารผู้เอาประกันภัยได้ยื่นเรื่องร้องเรียนต่อหน่วยงานกำกับดูแล
วันที่ 6 มีนาคม ค.ศ. 2014 บริษัทประกันภัยรายนั้นได้ทำหนังสือตอบปฏิเสธความคุ้มครองอย่างเป็นทางการ
วันที่ 19 เมษายน ค.ศ. 2014 ธนาคารผู้เอาประกันภัยเป็นโจทก์ยื่นฟ้องคดีต่อศาลชั้นต้น เพื่อเรียกร้องให้บริษัทประกันภัยฝ่ายจำเลยรับผิดตามกรมธรรม์ประกันภัยฉบับพิพาท
บริษัทประกันภัยฝ่ายจำเลยโต้แย้งคำฟ้องโดยอ้างว่า ผลของการตรวจสอบเหตุการณ์ที่เกิดขึ้นนั้น เนื่องมาจากการละเลยของลูกจ้างของธนาคารที่ไม่ปฏิบัติตามกฎระเบียบ และมาตรการรักษาความปลอดภัยอย่างเคร่งครัด เพราะธนาคารแห่งนี้ใช้ระบบการโอนเงินผ่านระบบธนาคารกลาง (FedLine) ที่เชื่อมต่อกับเครื่องคอมพิวเตอร์ของลูกจ้างผู้ใช้งาน โดยอาศัยการเชื่อมต่อผ่านเครือข่ายส่วนตัวเสมือน (Virtual Private Network (VPN)) ซึ่งมีขั้นตอนปฏิบัติงานด้วยการเข้ารหัสผ่านของผู้ใช้งานสองราย กับรหัสผ่านของอุปกรณ์โทเคน (security token) อีกชั้นหนึ่ง เมื่อใช้งานเสร็จสิ้นแล้ว ลูกจ้างผู้ใช้งานกลับไม่ปิดระบบคงปล่อยให้ระบบยังทำงานอยู่ข้ามคืน จนรุ่งเช้าถึงตรวจเจอว่า มีคนร้ายเข้ามาเจาะระบบหลอกโอนเงินออกไปยังต่างประเทศสองรายการ แต่ระงับได้ทันเพียงรายการเดียว
อันที่จริง คนร้ายได้ปล่อยไวรัสซุสโทรจัน (Zeus Trojan) แฝงเข้ามาอยู่ก่อนหน้าแล้ว โดยลูกจ้างผู้ใช้งานก็ได้ตรวจพบ แต่กลับละเลยไม่ได้ขจัด (remove) ออกไป
เหตุการณ์ดังกล่าวจึงมีสาเหตุมาจากการกระทำของลูกจ้างของผู้เอาประกันภัยดังระบุไว้ในข้อยกเว้นของกรมธรรม์ประกันภัยฉบับพิพาท
ศาลชั้นต้นได้พิเคราะห์พยานหลักฐานของคู่ความทั้งสองฝ่ายแล้ว มีความเห็นว่า แม้ลูกจ้างผู้ใช้งานของธนาคารฝ่ายโจทก์จะมีส่วนประมาทเลินเล่ออยู่บ้าง แต่ไม่ได้คาดคิด (foreseeable) ว่า จะเกิดเหตุการหลอกโอนเงินนี้ขึ้นมา จึงเข้าหลักสาเหตุใกล้ชิดสองสาเหตุที่เกิดขึ้นพ้องกัน (Concurrent Causation Doctrine) โดยหลักการให้ยึดสาเหตุที่มีผลมากที่สุด (Efficient and Proximate Cause/Overriding Cause) เป็นเกณฑ์ ถึงแม้นกรณีนี้ จะมีสาเหตุข้อยกเว้นจากการกระทำของลูกจ้างของผู้เอาประกันภัยเข้ามาพ้องกันกับสาเหตุความคุ้มครองคนร้ายหลอกโอนเงินไป ซึ่งอย่างหลังจะก่อให้เกิดผลมากที่สุด กรณีนี้จึงถือเข้าเงื่อนไขความคุ้มครอง ไม่ใช่เนื่องด้วยการกระทำฝ่าฝืนมาตรการปฎิบัติงานของลูกจ้างผู้ใช้งาน
ศาลชั้นต้นตัดสินให้ธนาคารผู้เอาประกันภัยฝ่ายโจทก์ชนะคดี
บริษัทประกันภัยฝ่ายจำเลยยื่นอุทธรณ์คัดค้าน
ศาลอุทธรณ์พิพากษายืนตามศาลชั้นต้น
(อ้างอิง และเรียบเรียงมาจากคดี State Bank of Bellingham v. BancInsure Inc., No. 14-3432 (8th Cir. May 20, 2016))
บริการ
- รับบรรยายให้ความรู้ด้านประกันวินาศภัย
- รับแปลเอกสารกรมธรรม์ประกันภัย (อังกฤษเป็นไทย)
สนใจติดต่อ vivatchai.amornkul@gmail.com
อ่านบทความอีกชุดที่น่าสนใจเพิ่มเติมได้ใน พบ-ป(ร)ะ -กัน(ภัย): เป็นเรื่อง เป็นราว ใน Facebook Meet Insurance ที่ https://www.facebook.com/pomamornkul/
ไม่มีความคิดเห็น:
แสดงความคิดเห็น