MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Wie kann man Sicherheitsvorfälle bei Auftragnehmern verhindern? Erklärung zum Aufbau und Betrieb des internen Kontrollsystems des Auftraggebers

General Corporate

Wie kann man Sicherheitsvorfälle bei Auftragnehmern verhindern? Erklärung zum Aufbau und Betrieb des internen Kontrollsystems des Auftraggebers

Unternehmen sind durch das japanische Unternehmensgesetz (Gesetz über Aktiengesellschaften) und das japanische Finanzinstrumente- und Börsengesetz dazu verpflichtet, ein internes Kontrollsystem zu implementieren. Der Begriff “internes Kontrollsystem” mag kompliziert erscheinen, aber einfach ausgedrückt handelt es sich dabei um ein System, das dazu dient, die Geschäftstätigkeiten eines Unternehmens ordnungsgemäß zu führen und Risiken zu vermeiden.

Wie funktioniert nun dieses interne Kontrollsystem in Bezug auf die Beziehungen zu externen Geschäftspartnern? Insbesondere wird dies zu einem Problem, da Unternehmen häufig verschiedene Aufgaben wie Logistik und Wartung an externe Dienstleister auslagern.

In diesem Artikel erläutern wir Maßnahmen zur Verwaltung des internen Kontrollsystems bei Auftragnehmern und zur Verhinderung von Sicherheitsvorfällen.

Was ist ein Internes Kontrollsystem?

Internes Kontrollsystem

Ein Internes Kontrollsystem ist ein organisatorisches Mittel oder eine Methode, die Unternehmen oder Organisationen benötigen, um eine angemessene Geschäftsführung zu gewährleisten. Es ist sowohl im japanischen Unternehmensgesetz (Japanisches Unternehmensgesetz) als auch im Finanzinstrumente- und Börsengesetz (Japanisches Finanzinstrumente- und Börsengesetz) definiert.

Nach dem Unternehmensgesetz sind die folgenden Unternehmen verpflichtet, ein Internes Kontrollsystem einzurichten:

  • Große Unternehmen
  • Unternehmen mit einem Nominierungsausschuss
  • Unternehmen mit einem Prüfungsausschuss

Im Finanzinstrumente- und Börsengesetz ist festgelegt, dass börsennotierte Unternehmen verpflichtet sind, ein Internes Kontrollsystem einzurichten und jährlich einen Bericht über das Interne Kontrollsystem einzureichen. Dieser Bericht muss von einem Wirtschaftsprüfer oder einer Wirtschaftsprüfungsgesellschaft geprüft werden.

Wenn durch Mängel im Internen Kontrollsystem ein Informationsleck oder ähnliches auftritt und Schaden entsteht, können das Unternehmen und seine Direktoren möglicherweise haftbar gemacht werden. Für weitere Informationen über das Interne Kontrollsystem zum Schutz von Informationen, verweisen wir auf den folgenden Artikel.

Verwandter Artikel: Erklärung der Maßnahmen zur Verhinderung von Informationslecks – Inhalt der internen Vorschriften, die eingerichtet werden sollten[ja]

Risiken im internen Kontrollsystem bei der Auftragsvergabe

Auch wenn Ihr Unternehmen eigene Vorschriften zur Informationssicherheit festgelegt hat, besteht die Möglichkeit, dass ein Sicherheitsvorfall beim Auftragnehmer auftritt, wenn dieser keine solchen Vorschriften festgelegt hat oder deren Inhalt unzureichend ist.

Im Falle eines Sicherheitsvorfalls besteht das Risiko, dass das Image des auftraggebenden Unternehmens, das die Verwaltungsaufgaben trägt, selbst wenn der Vorfall beim Auftragnehmer aufgetreten ist, beeinträchtigt wird.

Daher ist es wichtig, bei der Auftragsvergabe sicherzustellen, dass auch beim Auftragnehmer ein System aufgebaut wird, das Sicherheitsvorfälle und ähnliches verhindert.

Ein internes Kontrollsystem einschließlich Auftragnehmermanagement ist erforderlich

Unter Berücksichtigung von Präzedenzfällen und ähnlichen Beispielen ist die Einrichtung eines Informationssicherheitssystems ein wichtiger Bestandteil beim Aufbau eines internen Kontrollsystems.

Wenn ein Unternehmen oder eine Organisation aufgrund von Mängeln im Informationssicherheitssystem Dritten Schaden zufügt, besteht die Möglichkeit, dass die Geschäftsführer wegen Verletzung ihrer Sorgfaltspflicht zur Einrichtung eines internen Kontrollsystems zur Verantwortung gezogen werden. Darüber hinaus besteht auch die Möglichkeit, dass das beauftragende Unternehmen oder die Geschäftsführer zur Verantwortung gezogen werden, wenn durch Mängel im Informationssicherheitssystem des Auftragnehmers Schaden für Dritte entsteht.

Bisher gibt es keine bestätigten Fälle, in denen Schadensersatzansprüche aufgrund von Verletzungen der Sorgfaltspflicht zur Einrichtung eines internen Kontrollsystems gegen Geschäftsführer des Auftraggebers geltend gemacht wurden, wenn ein Sicherheitsvorfall aufgrund von Mängeln in der Verwaltung des Auftragnehmers aufgetreten ist. Es wird jedoch angenommen, dass in Zukunft Klagen eingereicht werden könnten.

Die Bedeutung von internen Kontrollsystemen anhand von Beispielen

Maßnahmen, die bei der externen Vergabe ergriffen werden sollten

Hier schauen wir uns an, welche Maßnahmen wir ergreifen sollten, wenn wir Aufgaben auslagern, basierend auf früheren Beispielen.

Informationsleck bei der Japanischen Rentenanstalt

Im Jahr 2015 (Heisei 27) gab es bei der Japanischen Rentenanstalt einen Informationsverlust durch unbefugten Zugriff, bei dem der Verlust von persönlichen Informationen wie Grundrentennummern und Namen bestätigt wurde.

In Bezug auf diesen Fall wurde ein Untersuchungsausschuss für den Informationsverlust durch unbefugten Zugriff bei der Japanischen Rentenanstalt (im Folgenden “Untersuchungsausschuss” genannt) eingerichtet, und ein Untersuchungsbericht vom 21. August 2015 wurde erstellt. Laut diesem Bericht wurde das LAN-System der Japanischen Rentenanstalt angegriffen und eine große Menge an persönlichen Informationen in gemeinsamen Ordnern wurde entwendet.

Als das System erstellt wurde, war es so konzipiert, dass es keine persönlichen Informationen im LAN-System behandelt. Unter bestimmten Bedingungen konnten jedoch persönliche Informationen in gemeinsame Ordner im LAN-System eingefügt werden. Darüber hinaus war das LAN-System der Japanischen Rentenanstalt nicht so konzipiert, dass es auf gezielte Angriffe reagieren konnte, so dass es lange dauerte, bis die Situation erkannt wurde, selbst nachdem der Angriff bemerkt wurde.

Der Untersuchungsausschuss hat als Maßnahmen zur Verhinderung einer Wiederholung vorgeschlagen:

  • Organisation des Personals (Einrichtung einer Sicherheitsabteilung usw.)
  • Organisation des Aufsichtssystems des Ministeriums für Gesundheit, Arbeit und Soziales (Organisation des Informationssicherheitssystems des Ministeriums für Gesundheit, Arbeit und Soziales usw.)
  • Technische Vorbereitungen (Systementwicklung basierend auf der tatsächlichen Geschäftssituation und Risiken usw.)
  • Bewusstseinsänderung in der Japanischen Rentenanstalt

Es wurde festgestellt, dass es nur eine allgemeine Vereinbarung zum Schutz der Informationssicherheit zwischen dem Auftraggeber und dem Auftragnehmer gab, und es gab keine klare Vereinbarung darüber, wie konkret auf einen Vorfall reagiert werden sollte, wenn er tatsächlich eintritt. Daher wurde die Reaktion verzögert und der Schaden wurde größer. (Quelle: Ministerium für Gesundheit, Arbeit und Soziales, “Untersuchungsbericht vom 21. August Heisei 27[ja]“)

Um solche Situationen zu verhindern, ist es notwendig,

  • eine Service Level Agreement (SLA) mit konkreten Inhalten abzuschließen
  • eine klare Vereinbarung zu treffen, dass der Auftragnehmer im Notfall reagiert

Der Service Level Agreement (SLA) ist ein Vertrag, in dem die Partei, die den Service anbietet, und die Partei, die den Service erhält, über die Qualität des Service, den Anwendungsbereich, die Empfangsmethode, die Verantwortung und die Kosten usw. übereinkommen. Durch eine vorherige Vereinbarung über die Reaktion im Falle eines Vorfalls ist es möglich, schnell und angemessen zu reagieren.

Informationsleck bei der Benesse Corporation

Im Jahr 2014 (Heisei 26) gab es einen Vorfall, bei dem persönliche Informationen bei der Benesse Corporation durchgesickert sind. Dabei handelte es sich um einen Vorfall, bei dem ein Mitarbeiter des Auftragnehmers Kundendaten kopiert und an einen Adresshändler verkauft hat, wodurch etwa 29,89 Millionen Kundendaten durchgesickert sind.

Als Ursache für diesen Vorfall wird angeführt, dass trotz der Gewährung von Zugriffsrechten auf Daten an Unterauftragnehmer und weitere Unterauftragnehmer kein ausreichendes Überwachungssystem vorhanden war, um zu verhindern, dass Informationen durchsickern.

Als Gegenmaßnahmen könnten in Betracht gezogen werden:

  • Die Definition des Arbeitsbereichs und des Zugriffsbereichs auf Informationen des Auftragnehmers im Vertrag
  • Durchführung regelmäßiger Audits beim Auftragnehmer
  • Auferlegung einer Berichtspflicht an den Auftragnehmer in Bezug auf das Überwachungssystem
  • Auswahl und Überprüfung der Personen, die wichtige Informationen beim Auftragnehmer behandeln

Ein Kunde hat daraufhin gegen die Benesse Corporation, den Anbieter des Dienstes, eine Klage auf Schadenersatz in Höhe von 100.000 Yen eingereicht, weil seine eigenen und die persönlichen Informationen seines Kindes in diesem Vorfall durchgesickert waren.

In der ersten und zweiten Instanz wurde die Klage des Kunden abgewiesen, aber das Urteil des Obersten Gerichtshofs vom 23. Oktober 2017 (Heisei 29) besagte:

“Es ist nicht angemessen, die Klage des Berufungsklägers sofort abzuweisen, nur weil es keine Behauptungen oder Beweise für Schäden gibt, die über Unbehagen hinausgehen, ohne eine ausreichende Untersuchung der Existenz und des Ausmaßes des psychischen Schadens des Berufungsklägers durch die Verletzung der Privatsphäre durchzuführen.”

Urteil des Obersten Gerichtshofs vom 23. Oktober Heisei 29, Nr. 1892, Schadenersatzklage[ja]

Das Urteil der zweiten Instanz wurde aufgehoben und an das Oberschiedsgericht Osaka zurückverwiesen.

Am 20. November 2019 ordnete das Oberschiedsgericht Osaka an, dass die Benesse Corporation 1.000 Yen zahlen muss, da sie die Privatsphäre verletzt hat.

In der ersten und zweiten Instanz wurde nicht nur die Verletzung der Privatsphäre, sondern auch die Frage, ob tatsächlich ein Schaden entstanden ist, betont. Das Oberste Gericht entschied jedoch, dass unabhängig vom Vorhandensein eines Schadens die Verletzung der Privatsphäre untersucht werden sollte. In anderen Fällen von Informationslecks gibt es viele Fälle, in denen Schadenersatzansprüche aufgrund von Informationslecks anerkannt werden, und dieses Urteil des Obersten Gerichtshofs kann als Teil dieses Trends angesehen werden.

Zusammenfassung: Konsultieren Sie einen Anwalt bezüglich des internen Kontrollsystems

Für eine gesunde Unternehmensführung ist es notwendig, ein internes Kontrollsystem ordnungsgemäß aufzubauen und zu betreiben. Selbst wenn ein Auftragnehmer einen Sicherheitsvorfall wie einen Informationsleck verursacht, kann der Auftraggeber zur Verantwortung gezogen werden und es ist unvermeidlich, dass das Unternehmensimage leidet. Um solche Situationen zu vermeiden, müssen Sie im Voraus ein System aufbauen, das sicherstellt, dass das interne Kontrollsystem auch beim Auftragnehmer ausreichend funktioniert.

Bitte konsultieren Sie einen Anwalt bezüglich des Aufbaus und Betriebs eines internen Kontrollsystems, einschließlich der Einrichtung eines Informationssicherheitssystems.

Maßnahmen unserer Kanzlei

Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit hoher Fachkompetenz in beiden Bereichen, IT und insbesondere Internetrecht. Die Notwendigkeit einer rechtlichen Überprüfung im Zusammenhang mit dem Aufbau und Betrieb von internen Kontrollsystemen nimmt stetig zu. Weitere Details finden Sie im untenstehenden Artikel.

Bereiche, in denen die Monolith Rechtsanwaltskanzlei tätig ist: Unternehmensrecht für IT und Start-ups[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zurück Nach Oben