Jak zabránit bezpečnostním incidentům u dodavatelů? Vysvětlení výstavby a provozu interního kontrolního systému objednatele

Podniky jsou podle japonského Obchodního zákoníku (Japanese Company Law) a Zákona o obchodování s finančními produkty (Japanese Financial Instruments and Exchange Act) povinny vytvořit systém vnitřní kontroly. Pojem “systém vnitřní kontroly” může znít složitě, ale jednoduše řečeno, jde o systém, který umožňuje správné provádění firemních operací a prevenci rizik.

Jak tedy funguje systém vnitřní kontroly ve vztahu k externím obchodním partnerům? Toto je zvláště důležité, protože podniky často outsourcují různé operace, jako je logistika a údržba.

V tomto článku vysvětlíme, jak funguje systém vnitřní kontroly u dodavatelů a jaké opatření je třeba přijmout k prevenci bezpečnostních incidentů.

Co je to interní kontrolní systém

Interní kontrolní systém je soubor organizačních prostředků a metod, které jsou nezbytné pro správné řízení podniku nebo organizace. Je definován v Japonském zákoně o obchodních společnostech a Japonském zákoně o obchodování s finančními nástroji.

Podle Japonského zákonu o obchodních společnostech jsou následující společnosti povinny vytvořit interní kontrolní systém:

• Velké společnosti
• Společnosti s výborem pro jmenování
• Společnosti s výborem pro audit

Dále Japonský zákon o obchodování s finančními nástroji ukládá povinnost vytvořit interní kontrolní systém pro veřejně obchodované společnosti. Tyto společnosti jsou povinny každý obchodní rok předložit zprávu o interní kontrole, která musí být ověřena certifikovaným účetním nebo auditorskou společností.

Pokud dojde k úniku informací nebo jiné škodě v důsledku nedostatků v interním kontrolním systému, společnost a její ředitelé mohou nést odpovědnost za náhradu škody. Pro více informací o interním kontrolním systému pro ochranu informací se podívejte na následující článek.

Související článek: Vysvětlení opatření proti úniku informací Obsah interních předpisů, které je třeba vypracovat[ja]

Rizika vnitřního kontrolního systému, která mohou vzniknout při svěření práce

I když vaše společnost stanovila pravidla týkající se informační bezpečnosti, existuje možnost, že pokud svěřená strana tato pravidla nestanovila nebo jsou její pravidla nedostatečná, může dojít k bezpečnostnímu incidentu.

Pokud dojde k bezpečnostnímu incidentu, i když se jedná o nehodu na straně svěřené, existuje riziko, že se sníží image společnosti, která má odpovědnost za řízení.

Proto je důležité při svěření práce vytvořit systém, který zabrání vzniku bezpečnostních incidentů a podobných událostí na straně svěřené.

Potřeba interního kontrolního systému včetně řízení dodavatelů

Na základě soudních případů a podobných situací je zřejmé, že výstavba systému informační bezpečnosti je jedním z klíčových prvků při budování interního kontrolního systému.

Pokud by společnost nebo organizace způsobila škodu třetí straně kvůli nedostatkům v systému informační bezpečnosti, mohlo by dojít k tomu, že ředitelé budou obviněni z porušení povinnosti řádné péče za zanedbání povinnosti vybudovat interní kontrolní systém. Navíc, pokud by došlo k poškození třetí strany kvůli nedostatkům v systému informační bezpečnosti dodavatele, mohla by být odpovědnost kladena také na společnost zadavatele nebo její ředitele.

Je třeba poznamenat, že zatím nebyly zaznamenány případy, kdy by byla uznána nároky na náhradu škody založené na porušení povinnosti řádné péče kvůli porušení povinnosti vybudovat interní kontrolní systém vůči ředitelům zadavatele v případě, kdy došlo k incidentu v oblasti bezpečnosti kvůli nedostatkům v řízení dodavatele. Nicméně, v budoucnu je možné, že budou podány žaloby.

Význam interního kontrolního systému se učíme na příkladech

Zde se podíváme na to, jaká opatření by měla být přijata při zadávání prací na základě minulých příkladů.

Případ úniku informací v Japonské penzijní instituci (Nenkin Kikou)

V roce 2015 došlo v Japonské penzijní instituci k úniku informací způsobenému neoprávněným přístupem, přičemž byl potvrzen únik osobních údajů, jako jsou základní penzijní čísla a jména.

V souvislosti s tímto případem byla zřízena Vyšetřovací komise pro případ úniku informací způsobeného neoprávněným přístupem v Japonské penzijní instituci (dále jen “Vyšetřovací komise”), která vytvořila zprávu z 21. srpna 2015 (Heisei 27) shrnující průběh událostí. Podle této zprávy byl napaden LAN systém Japonské penzijní instituce a došlo k úniku velkého množství osobních údajů z sdílené složky.

Při vytváření systému bylo stanoveno, že na LAN systému nebudou zpracovávány žádné osobní údaje, ale za určitých podmínek se ukázalo, že do sdílené složky na LAN systému mohou být vloženy osobní údaje. Navíc, LAN systém Japonské penzijní instituce nebyl připraven na cílené útoky, což způsobilo, že po zjištění útoku trvalo dlouho, než byla situace plně pochopena.

Vyšetřovací komise navrhla následující opatření k zabránění opakování incidentu:

• Zlepšení lidských zdrojů (zřízení oddělení pro bezpečnostní opatření atd.)
• Zlepšení dohledového systému Ministerstva zdravotnictví, práce a sociálních věcí (zlepšení informačního bezpečnostního systému ministerstva atd.)
• Technické zlepšení (vytvoření systému na základě skutečného stavu a rizik práce atd.)
• Změna postojů v Japonské penzijní instituci

Jejich doporučení jsou uvedena výše.

Dále, protože mezi zadavatelem a dodavatelem byla uzavřena pouze obecná dohoda o ochraně informační bezpečnosti, a nebyla jasná dohoda o konkrétních opatřeních v případě incidentu, reakce byla zpožděná a škoda byla větší. (Zdroj: Ministerstvo zdravotnictví, práce a sociálních věcí, “Zpráva z 21. srpna roku Heisei 27 (2015)[ja]“)

Aby se předešlo takovým situacím, je třeba:

• Uzavřít smlouvu o úrovni služeb (SLA) s konkrétním obsahem
• Jasně se dohodnout, že dodavatel bude reagovat v případě nouze

Toto by mělo být nezbytné.

Smlouva o úrovni služeb (Service Level Agreement, SLA) je smlouva uzavřená mezi poskytovatelem a příjemcem služby, která se dohodne na kvalitě služby, rozsahu aplikace, způsobu přijetí, odpovědnosti a nákladech atd. Navíc, předem se dohodnout na reakci v případě incidentu umožňuje rychle a adekvátně reagovat.

Případ úniku osobních údajů v korporaci Benesse

V roce 2014 došlo k případu úniku osobních údajů v korporaci Benesse. Tento incident byl způsoben tím, že zaměstnanec subdodavatele zkopíroval zákaznická data a prodal je seznamovací agentuře, což vedlo k úniku přibližně 29,89 milionu zákaznických informací.

Jako příčina tohoto incidentu je uváděno, že i přes udělení přístupových práv k datům subdodavatelům a dalším subdodavatelům nebyl zaveden dostatečný dohledový systém, který by zabránil úniku informací.

Možná opatření zahrnují:

• Definování rozsahu práce a přístupu k informacím subdodavatele v smlouvě
• Pravidelné auditování subdodavatelů
• Naložení povinnosti subdodavatelům podávat zprávy o dohledovém systému
• Vybrání osob, které budou u subdodavatele zpracovávat důležité informace, a provedení kontroly

Jeden zákazník později podal žalobu na korporaci Benesse, poskytovatele služby, a požadoval odškodnění ve výši 100 000 jenů za únik svých a dětských osobních údajů v tomto incidentu.

Ačkoli zákazník prohrál v prvním a druhém stupni soudního řízení, Nejvyšší soud dne 23. října 2017 (Heisei 29) rozhodl, že:

“Je nesprávné okamžitě zamítnout nárok žalobce pouze na základě skutečnosti, že nebylo prokázáno ani tvrzeno, že došlo k poškození přesahujícímu nepohodlí, aniž by bylo řádně posouzeno, zda došlo k duševnímu poškození žalobce v důsledku porušení soukromí a jakého rozsahu.”

Rozhodnutí druhého malého soudu dne 23. října 2017 (Heisei 29), případ žádosti o náhradu škody č. 1892 (přijato v roce Heisei 28)[ja]

Nejvyšší soud zrušil rozhodnutí druhého stupně a vrátil případ k dalšímu projednání do Osackého vrchního soudu.

Dne 20. listopadu 2019 Osacký vrchní soud uznal porušení soukromí a nařídil korporaci Benesse zaplatit 1 000 jenů.

V prvním a druhém stupni soudního řízení bylo kladen důraz nejen na porušení soukromí, ale také na otázku, zda skutečně došlo k poškození. Nejvyšší soud však rozhodl, že by mělo být posuzováno, zda došlo k porušení soukromí, bez ohledu na to, zda došlo k poškození. V jiných případech úniku informací jsou často uznávány žádosti o náhradu škody založené na úniku informací, a toto rozhodnutí Nejvyššího soudu je považováno za součást tohoto trendu.

Shrnutí: Konzultujte systém vnitřní kontroly s právníkem

Pro zdravé řízení společnosti nebo organizace je nezbytné správně budovat a provozovat systém vnitřní kontroly. I když dojde k bezpečnostnímu incidentu, jako je únik informací ze strany dodavatele, existuje možnost, že odpovědnost bude svalena na zadavatele, a nelze se vyhnout poklesu firemního image. Aby se předešlo takovým situacím, je nutné předem vytvořit systém, který zajistí, že systém vnitřní kontroly bude řádně fungovat i u dodavatele.

Prosím, konzultujte s právníkem o budování a provozování systému vnitřní kontroly, včetně zavedení systému informační bezpečnosti.

Úvod do opatření naší kanceláře

Právnická kancelář Monolith je právnická kancelář s vysokou odborností v oblasti IT, zejména internetu a práva. Potřeba právní kontroly při budování a provozování interních kontrolních systémů se stále zvyšuje. Podrobnosti jsou uvedeny v následujícím článku.

Obory práce právnické kanceláře Monolith: Právní záležitosti IT a startupových společností[ja]