Hvordan forhindrer man sikkerhedshændelser hos underleverandører? Forklaring af opbygning og drift af den interne kontrolsystem hos ordregiveren

Virksomheder er forpligtet til at opbygge et internt kontrolsystem i henhold til den japanske virksomhedslov (Companies Act) og den japanske lov om handel med finansielle instrumenter (Financial Instruments and Exchange Act). “Internt kontrolsystem” kan lyde kompliceret, men det er simpelthen en struktur, der sikrer korrekt drift af virksomhedens aktiviteter og forebygger risici.

Så hvordan fungerer det interne kontrolsystem i forhold til eksterne handelspartnere? Især bliver det et problem, da virksomheder ofte outsourcer forskellige opgaver som logistik og vedligeholdelse til eksterne enheder.

I denne artikel vil vi forklare om drift af interne kontrolsystemer hos outsourcing-partnere og foranstaltninger til at forhindre sikkerhedshændelser.

Hvad er et internt kontrolsystem?

Et internt kontrolsystem er de organisatoriske midler og metoder, som virksomheder og organisationer har brug for at drive en passende forretning, og det er defineret i både den japanske virksomhedslov (Japansk virksomhedslov) og den japanske finansielle instrumenter og børshandel lov (Japansk finansielle instrumenter og børshandel lov).

Ifølge virksomhedsloven er følgende virksomheder forpligtet til at opbygge et internt kontrolsystem:

• Store virksomheder
• Virksomheder med nomineringsudvalg
• Virksomheder med revisionsudvalg

Desuden kræver den japanske finansielle instrumenter og børshandel lov, at børsnoterede virksomheder opbygger et internt kontrolsystem og indsender en intern kontrolrapport for hvert regnskabsår. Denne interne kontrolrapport skal være underlagt en revisionsattest fra en certificeret revisor eller et revisionsfirma.

Hvis der opstår skade som følge af mangler i det interne kontrolsystem, såsom lækage af information, kan virksomheden og dens direktører være ansvarlige for skadeserstatning. For mere information om interne kontrolsystemer til beskyttelse af information, se artiklen nedenfor.

Relateret artikel: Forklaring af foranstaltninger til forebyggelse af informationslækage Hvad skal virksomhedsregler indeholde[ja]

Risici i interne kontrolsystemer ved outsourcing

Selvom din virksomhed har fastlagt egne regler for informationssikkerhed, kan der opstå sikkerhedshændelser hos den virksomhed, du har outsourcet til, hvis de enten ikke har fastlagt lignende regler, eller hvis deres regler er utilstrækkelige.

Hvis en sikkerhedshændelse opstår, selvom det sker hos den virksomhed, du har outsourcet til, kan det skade dit firmas image, da du stadig har ansvaret for at administrere det.

Derfor er det vigtigt at sikre, at virksomheden, du outsourcer til, også har et system på plads for at forhindre sikkerhedshændelser.

Der er behov for et internt kontrolsystem, der inkluderer styring af underleverandører

Set i lyset af retspraksis er etablering af et informationssikkerhedssystem en af de vigtige elementer i opbygningen af et internt kontrolsystem.

Hvis en virksomhed eller organisation forårsager skade på en tredjepart på grund af mangler i informationssikkerhedssystemet, kan direktører potentielt blive anklaget for at have forsømt deres pligt til at opbygge et internt kontrolsystem. Desuden, hvis der er mangler i underleverandørens informationssikkerhedssystem, der forårsager skade på en tredjepart, kan virksomheden eller direktørerne også blive holdt ansvarlige.

Der er endnu ikke bekræftede tilfælde, hvor skadeserstatningskrav baseret på overtrædelse af pligten til at opbygge et internt kontrolsystem er blevet anerkendt over for direktører osv., hvis der opstår en sikkerhedshændelse på grund af mangler i styringen hos underleverandøren. Men det er muligt, at der i fremtiden kan blive rejst retssager.

Forstå vigtigheden af interne kontrolsystemer gennem eksempler

Lad os se på, hvilke foranstaltninger der bør træffes, når man outsourcer arbejde, baseret på tidligere eksempler.

Informationslækage hos den japanske pensionsorganisation (Japan Pension Service)

I 2015 blev der bekræftet lækage af personlige oplysninger, såsom grundlæggende pensionsnumre og navne, som følge af uautoriseret adgang til den japanske pensionsorganisation.

I denne forbindelse blev der oprettet en undersøgelseskomité for informationslækage som følge af uautoriseret adgang til den japanske pensionsorganisation, og en undersøgelsesrapport dateret 21. august 2015 (Heisei 27) blev udarbejdet, der opsummerede forløbet. Ifølge denne rapport blev den japanske pensionsorganisations LAN-system angrebet, og en stor mængde personlige oplysninger blev lækket fra en delt mappe.

Da systemet blev opbygget, var det meningen, at personlige oplysninger ikke skulle behandles på LAN-systemet, men det ser ud til, at personlige oplysninger kunne placeres i en delt mappe på LAN-systemet under visse betingelser. Desuden var den japanske pensionsorganisations LAN-system ikke i stand til at håndtere målrettede angreb, hvilket betød, at det tog tid at få et overblik over situationen, selv efter at angrebet blev opdaget.

Undersøgelseskomitéen har foreslået følgende foranstaltninger for at forhindre gentagelse:

• Udvikling af menneskelige ressourcer (oprettelse af en sikkerhedsforanstaltning osv.)
• Udvikling af tilsynssystemet i Ministeriet for Sundhed, Arbejde og Velfærd (udvikling af ministeriets informationssikkerhedssystem osv.)
• Teknisk udvikling (systemudvikling baseret på virkeligheden og risikoen ved arbejdet osv.)
• Ændring af den japanske pensionsorganisations bevidsthed

Desuden var der kun en generel aftale om beskyttelse af informationssikkerhed mellem kontrahenten og den japanske pensionsorganisation, og der var ingen klar aftale om specifikke foranstaltninger, hvis en hændelse faktisk skulle opstå. Dette forsinkede reaktionen og forværrede skaden. (Kilde: Ministeriet for Sundhed, Arbejde og Velfærd “Rapport dateret 21. august Heisei 27[ja]“)

For at forhindre sådanne situationer er det nødvendigt at:

• Indgå en service level agreement (SLA) med specifikt indhold
• Aftale klart, at leverandøren vil håndtere nødsituationer

En service level agreement (SLA) er en kontrakt, der indgås mellem leverandøren og modtageren af en service, hvor de aftaler om kvaliteten, anvendelsesområdet, modtagelsesmetoden, ansvar og omkostninger ved servicen. Ved at indgå en aftale på forhånd om, hvordan man skal reagere i tilfælde af en hændelse, bliver det muligt at reagere hurtigt og passende.

Informationslækage hos Benesse Corporation

I 2014 opstod der en informationslækage hos Benesse Corporation. Dette skyldtes, at en medarbejder hos en underleverandør kopierede kundedata og solgte dem til en listeoperatør, hvilket resulterede i, at omkring 29,89 millioner kundeoplysninger blev lækket.

En af årsagerne til denne hændelse var, at der ikke var et tilstrækkeligt overvågningssystem for at forhindre informationslækage, selvom adgangsrettigheder til data blev givet til underleverandører og endda under-underleverandører.

Foranstaltninger kunne omfatte:

• At definere klart omfanget af underleverandørens arbejde og adgang til information i kontrakten
• Gennemførelse af regelmæssige revisioner af underleverandører
• Pålægge underleverandører en rapporteringspligt om overvågningssystemet
• At bestemme, hvem der skal håndtere vigtige oplysninger hos underleverandøren, og gennemføre en revision

En af kunderne anlagde sag mod Benesse Corporation og krævede 100.000 yen i erstatning for lækagen af hans og hans barns personlige oplysninger i denne hændelse.

I første og anden instans tabte kunden, men i en højesteretsdom dateret 23. oktober 2017 (Heisei 29) blev det besluttet, at:

“Det er ikke passende at afvise appelantens krav direkte, kun fordi der ikke er fremsat eller bevist påstande om skade, der overstiger ubehag, uden at undersøge tilstrækkeligt om der er sket psykisk skade på appelanten som følge af krænkelse af privatlivets fred og omfanget af en sådan skade.”

Dom i skadeserstatningssag nr. 1892 (modtaget) Heisei 28, dateret 23. oktober Heisei 29, anden mindre retssal[ja]

Anden instansdom blev annulleret, og sagen blev sendt tilbage til Osaka High Court for yderligere behandling.

Den 20. november 2019 anerkendte Osaka High Court krænkelse af privatlivets fred og beordrede Benesse Corporation til at betale 1.000 yen.

I første og anden instans blev det lagt vægt på, om der faktisk var sket skade, ikke kun krænkelse af privatlivets fred, men i Højesteret blev det besluttet, at der skulle undersøges, om der var sket krænkelse af privatlivets fred, uanset om der var sket skade eller ej. Der er mange tilfælde, hvor erstatningskrav baseret på informationslækage anerkendes i andre informationslækagesager, og denne højesteretsdom kan betragtes som i tråd med denne tendens.

Opsummering: Konsulter en advokat om interne kontrolsystemer

For at sikre en sund drift af virksomheder og organisationer er det nødvendigt at opbygge og implementere passende interne kontrolsystemer. Selv hvis en underleverandør forårsager en sikkerhedshændelse, såsom lækage af information, kan den part, der har outsourcet arbejdet, blive holdt ansvarlig, og virksomhedens image kan lide skade. For at undgå sådanne situationer er det nødvendigt at etablere et system, der sikrer, at interne kontrolsystemer fungerer effektivt hos underleverandører.

Venligst konsulter en advokat om opbygning og implementering af interne kontrolsystemer, herunder informationssikkerhedssystemer.

Introduktion til vores tiltag ved Monolith Advokatfirma

Monolith Advokatfirma er en juridisk virksomhed med høj ekspertise inden for IT, især internettet og lovgivning. Behovet for juridisk kontrol i forbindelse med opbygning og drift af interne kontrolsystemer stiger stadig. Detaljer er angivet i artiklen nedenfor.

Monolith Advokatfirmas områder: IT og venture virksomhedsret[ja]