Πώς να Προλάβετε Περιστατικά Ασφάλειας στους Αναδόχους; Εξηγώντας τη Δημιουργία και τη Λειτουργία του Εσωτερικού Συστήματος Ελέγχου του Εντολέα
Οι εταιρείες υποχρεούνται να δημιουργήσουν συστήματα εσωτερικού ελέγχου σύμφωνα με τον Ιαπωνικό Νόμο Εταιρειών (Japanese Companies Act) και τον Ιαπωνικό Νόμο για τις Συναλλαγές Χρηματοοικονομικών Προϊόντων (Japanese Financial Instruments and Exchange Act). Το “σύστημα εσωτερικού ελέγχου” μπορεί να ακούγεται περίπλοκο, αλλά απλούστερα, είναι ένας μηχανισμός που διασφαλίζει την κατάλληλη διαχείριση των επιχειρησιακών διαδικασιών της εταιρείας και προλαμβάνει τους κινδύνους.
Πώς λειτουργεί, όμως, το σύστημα εσωτερικού ελέγχου στη σχέση με τους εξωτερικούς συναλλασσόμενους; Αυτό αποτελεί ιδιαίτερο ζήτημα, καθώς οι εταιρείες συχνά αναθέτουν διάφορες λειτουργίες, όπως την αποθήκευση και τη συντήρηση, σε τρίτους.
Σε αυτό το άρθρο, θα αναλύσουμε τη λειτουργία των συστημάτων εσωτερικού ελέγχου στους αναθέτοντες και τα μέτρα που πρέπει να ληφθούν για την πρόληψη περιστατικών ασφάλειας.
Τι είναι το Σύστημα Εσωτερικού Ελέγχου
Το Σύστημα Εσωτερικού Ελέγχου αναφέρεται στα οργανωτικά μέσα και μεθόδους που απαιτούνται από μια επιχείρηση ή οργανισμό για την κατάλληλη διαχείριση, και ορίζεται από τον Ιαπωνικό Νόμο Εταιρειών (Japanese Companies Act) και τον Ιαπωνικό Νόμο για τις Συναλλαγές Χρηματοπιστωτικών Προϊόντων (Japanese Financial Instruments and Exchange Act).
Σύμφωνα με τον Ιαπωνικό Νόμο Εταιρειών, οι ακόλουθες εταιρείες υποχρεούνται να δημιουργήσουν ένα σύστημα εσωτερικού ελέγχου:
- Μεγάλες εταιρείες
- Εταιρείες με Επιτροπή Ονομαστικής Επιλογής κ.ά.
- Εταιρείες με Επιτροπή Ελέγχου κ.ά.
Επιπλέον, ο Ιαπωνικός Νόμος για τις Συναλλαγές Χρηματοπιστωτικών Προϊόντων επιβάλλει στις εισηγμένες εταιρείες την υποχρέωση δημιουργίας ενός συστήματος εσωτερικού ελέγχου και απαιτεί την υποβολή ενός εκθέσεως εσωτερικού ελέγχου για κάθε επιχειρησιακό έτος. Αυτή η έκθεση εσωτερικού ελέγχου πρέπει να λάβει την επικύρωση από έναν Πιστοποιημένο Δημόσιο Λογιστή ή από μια εταιρεία ελέγχου.
Σε περίπτωση που προκύψουν ζημιές από διαρροή πληροφοριών ή άλλα προβλήματα λόγω ανεπαρκειών στο σύστημα εσωτερικού ελέγχου, η εταιρεία ή οι διευθυντές της μπορεί να καταλήξουν να φέρουν ευθύνη για αποζημίωση. Για περισσότερες λεπτομέρειες σχετικά με τα συστήματα εσωτερικού ελέγχου για την προστασία πληροφοριών, παρακαλούμε ανατρέξτε στο παρακάτω άρθρο.
Σχετικό Άρθρο: Προληπτικά μέτρα για την αποφυγή διαρροής πληροφοριών και το περιεχόμενο των εταιρικών κανονισμών που πρέπει να εφαρμοστούν
Κίνδυνοι στο Σύστημα Εσωτερικού Ελέγχου που Μπορεί να Προκύψουν κατά την Ανάθεση Εργασιών
Ακόμη και αν η εταιρεία σας έχει καθιερώσει κανονισμούς σχετικά με την ασφάλεια πληροφοριών, εάν ο ανάδοχος δεν έχει θεσπίσει τέτοιους κανονισμούς ή αν αυτοί είναι ανεπαρκείς, υπάρχει η πιθανότητα να συμβούν περιστατικά ασφάλειας στον ανάδοχο.
Σε περίπτωση που συμβεί ένα περιστατικό ασφάλειας, ακόμη και αν αυτό συμβεί στον ανάδοχο, υπάρχει ο κίνδυνος να υποστεί ζημία η εικόνα της εταιρείας που ανέθεσε την εργασία, λόγω της ευθύνης διαχείρισης που φέρει.
Για αυτόν τον λόγο, κατά την ανάθεση εργασιών, είναι σημαντικό να διασφαλίσετε ότι ο ανάδοχος έχει δημιουργήσει ένα σύστημα που θα αποτρέπει την εμφάνιση περιστατικών ασφάλειας και άλλων παρόμοιων συμβάντων.
Απαιτείται Σύστημα Εσωτερικού Ελέγχου που Περιλαμβάνει τη Διαχείριση Αναθέτουσας Εταιρείας
Από την ανάλυση της νομολογίας, είναι φανερό ότι η δημιουργία ενός συστήματος ασφάλειας πληροφοριών αποτελεί έναν σημαντικό παράγοντα στην κατασκευή ενός συστήματος εσωτερικού ελέγχου.
Εάν μια εταιρεία ή οργανισμός προκαλέσει ζημιά σε τρίτους λόγω ελλείψεων στο σύστημα ασφάλειας πληροφοριών, οι διευθυντές μπορεί να κληθούν να λογοδοτήσουν για παράβαση της υποχρέωσης δημιουργίας ενός συστήματος εσωτερικού ελέγχου, ως παράβαση της υποχρέωσης επιμελούς διαχείρισης. Επιπλέον, εάν η αναθέτουσα εταιρεία έχει ελλείψεις στο σύστημα ασφάλειας πληροφοριών και αυτό οδηγήσει σε ζημιά τρίτων, η εταιρεία που ανέθεσε το έργο και οι διευθυντές της μπορεί επίσης να κληθούν να λογοδοτήσουν.
Αν και δεν έχουν καταγραφεί περιπτώσεις όπου αποδείχθηκε αξίωση αποζημίωσης για ζημιά βασισμένη σε παράβαση της υποχρέωσης δημιουργίας ενός συστήματος εσωτερικού ελέγχου, λόγω ελλείψεων στη διαχείριση από την αναθέτουσα εταιρεία, είναι πιθανό στο μέλλον να υπάρξουν προσφυγές στη δικαιοσύνη για τέτοια ζητήματα.
Μαθαίνοντας από παραδείγματα τη σημασία του συστήματος εσωτερικού ελέγχου
Εδώ θα εξετάσουμε ποια μέτρα θα πρέπει να λάβουμε όταν αναθέτουμε εργασίες, βασιζόμενοι σε παραδείγματα από το παρελθόν.
Περιστατικό Διαρροής Πληροφοριών στον Οργανισμό Συντάξεων της Ιαπωνίας
Το 2015, στον Οργανισμό Συντάξεων της Ιαπωνίας (Japanese Pension Service) σημειώθηκε παράνομη πρόσβαση και διαρροή πληροφοριών, με αποτέλεσμα την επιβεβαίωση διαρροής προσωπικών δεδομένων όπως αριθμοί βασικών συντάξεων και ονόματα.
Σχετικά με αυτό το περιστατικό, συστάθηκε η Επιτροπή Επαλήθευσης Περιστατικών Διαρροής Πληροφοριών λόγω Παράνομης Πρόσβασης στον Οργανισμό Συντάξεων της Ιαπωνίας (εφεξής αναφερόμενη ως “Επιτροπή Επαλήθευσης”), η οποία συνέταξε μια αναφορά επαλήθευσης με ημερομηνία 21 Αυγούστου 2015 (Heisei 27 (2015)). Σύμφωνα με αυτήν την αναφορά, το σύστημα LAN του Οργανισμού δέχθηκε επίθεση και μια μεγάλη ποσότητα προσωπικών δεδομένων διέρρευσε από κοινόχρηστους φακέλους.
Κατά την κατασκευή του συστήματος, είχε συμφωνηθεί ότι προσωπικά δεδομένα δεν θα διαχειρίζονται στο σύστημα LAN, ωστόσο, υπό ορισμένες συνθήκες, φαίνεται ότι έγινε δυνατή η εισαγωγή προσωπικών δεδομένων στους κοινόχρηστους φακέλους του συστήματος LAN. Επιπλέον, το σύστημα LAN του Οργανισμού δεν λειτουργούσε με τρόπο που να μπορεί να αντιμετωπίσει επιθέσεις στοχευμένου τύπου, γεγονός που οδήγησε σε καθυστερήσεις στην κατανόηση της κατάστασης ακόμη και αφού ανακαλύφθηκε η επίθεση.
Η Επιτροπή Επαλήθευσης πρότεινε τα εξής μέτρα πρόληψης επανάληψης:
- Οργάνωση ανθρώπινου δυναμικού (δημιουργία τμήματος ασφαλείας κ.λπ.)
- Ενίσχυση του συστήματος εποπτείας του Υπουργείου Εργασίας, Υγείας και Πρόνοιας (ενίσχυση του συστήματος ασφάλειας πληροφοριών του Υπουργείου κ.λπ.)
- Τεχνική οργάνωση (ανάπτυξη συστημάτων βασισμένων στην πραγματική λειτουργία και τους κινδύνους κ.λπ.)
- Αλλαγή της νοοτροπίας στον Οργανισμό Συντάξεων της Ιαπωνίας
Επιπλέον, επειδή μεταξύ του Οργανισμού και των αναδόχων υπήρχε μόνο μια γενική συμφωνία για την προστασία της ασφάλειας πληροφοριών και δεν υπήρχε σαφής συμφωνία για την αντιμετώπιση συγκεκριμένων περιστατικών σε περίπτωση που συνέβαινε κάποιο περιστατικό, η αντίδραση ήταν αργή και το πρόβλημα επεκτάθηκε. (Πηγή: Υπουργείο Εργασίας, Υγείας και Πρόνοιας «Αναφορά Επαλήθευσης ημερομηνίας 21 Αυγούστου 2015»)
Για την πρόληψη τέτοιων καταστάσεων, θα είναι απαραίτητο:
- Να συνάπτονται συμφωνίες επιπέδου υπηρεσίας (Service Level Agreements, SLA) με συγκεκριμένο περιεχόμενο
- Να υπάρχει σαφής συμφωνία ότι οι ανάδοχοι θα αναλαμβάνουν την αντιμετώπιση επειγόντων καταστάσεων
Οι συμφωνίες επιπέδου υπηρεσίας (Service Level Agreements, SLA) αναφέρονται στις συμβάσεις που καθορίζουν την ποιότητα και το εύρος των υπηρεσιών, τον τρόπο παραλαβής, τις ευθύνες και το κόστος μεταξύ του παρόχου και του παραλήπτη της υπηρεσίας. Επιπλέον, η προκαταρκτική συμφωνία για την αντιμετώπιση περιστατικών επιτρέπει την ταχεία και κατάλληλη αντίδραση σε περίπτωση εκδήλωσης περιστατικού.
Η Υπόθεση Διαρροής Προσωπικών Δεδομένων στην Εταιρεία Benesse Corporation
Το 2014, σημειώθηκε μια υπόθεση διαρροής προσωπικών δεδομένων στην εταιρεία Benesse Corporation. Πρόκειται για την περίπτωση όπου ένας εργαζόμενος σε εταιρεία-υπεργολάβο αντέγραψε πελατιακά δεδομένα και τα πούλησε σε επιχειρήσεις καταλόγων, με αποτέλεσμα να διαρρεύσουν περίπου 29,89 εκατομμύρια καταχωρήσεις πληροφοριών πελατών.
Ως αιτία της υπόθεσης αναφέρεται η παροχή δικαιωμάτων πρόσβασης στα δεδομένα σε υπεργολάβους και υπο-υπεργολάβους, χωρίς ωστόσο να υπάρχει επαρκής εποπτεία για την αποτροπή διαρροής πληροφοριών.
Ως μέτρα αντιμετώπισης προτείνονται:
- Η σαφής οριοθέτηση του εύρους εργασιών και της πρόσβασης στις πληροφορίες των υπεργολάβων μέσω συμβάσεων
- Η διενέργεια τακτικών ελέγχων στους υπεργολάβους
- Η επιβολή υποχρέωσης αναφοράς στους υπεργολάβους σχετικά με το σύστημα εποπτείας
- Η οριστικοποίηση των ατόμων που θα χειρίζονται σημαντικές πληροφορίες στους υπεργολάβους και η διενέργεια αξιολόγησης
Στη συνέχεια, ένας από τους πελάτες κατέθεσε αγωγή κατά της Benesse Corporation για αποζημίωση ύψους 100.000 γιεν λόγω διαρροής των προσωπικών του δεδομένων και των δεδομένων του παιδιού του.
Στο πρωτόδικο και το εφετείο, ο πελάτης έχασε την υπόθεση, αλλά με την απόφαση της Ανώτατης Δικαστικής Επιτροπής στις 23 Οκτωβρίου του 2017 (Heisei 29),
χωρίς να διεξαχθεί επαρκής δίκη για την ύπαρξη και το βαθμό της ψυχικής ζημίας του ενάγοντος λόγω παραβίασης της ιδιωτικότητας, και μόνο με βάση την έλλειψη ισχυρισμών και αποδείξεων για την πρόκληση ζημίας πέραν της δυσφορίας, η αίτηση του ενάγοντος απορρίφθηκε αμέσως
Απόφαση Αριθ. 1892/2016 Αίτηση Αποζημίωσης Ζημιών, 23 Οκτωβρίου 2017 Δεύτερο Μικρό Δικαστήριο
ακύρωσε την απόφαση του εφετείου και παρέπεμψε την υπόθεση πίσω στο Ανώτατο Δικαστήριο της Οσάκα για περαιτέρω εξέταση.
Στις 20 Νοεμβρίου 2019, το Ανώτατο Δικαστήριο της Οσάκα αναγνώρισε την παραβίαση της ιδιωτικότητας και διέταξε την Benesse Corporation να πληρώσει 1.000 γιεν.
Στο πρωτόδικο και το εφετείο, είχε δοθεί έμφαση όχι μόνο στην παραβίαση της ιδιωτικότητας αλλά και στο αν πραγματικά προκλήθηκε ζημία, ενώ στην απόφαση της Ανώτατης Δικαστικής Επιτροπής τονίστηκε ότι έπρεπε να εξεταστεί η υπόθεση ανεξάρτητα από την ύπαρξη ζημίας. Σε άλλες υποθέσεις διαρροής πληροφοριών, έχουν αναγνωριστεί αξιώσεις για αποζημίωση βασισμένες στη διαρροή πληροφοριών, και η απόφαση της Ανώτατης Δικαστικής Επιτροπής φαίνεται να ακολουθεί αυτή την τάση.
Συνοπτικά: Συμβουλευτείτε έναν δικηγόρο για το σύστημα εσωτερικού ελέγχου
Για την υγιή διαχείριση μιας εταιρείας ή οργανισμού, είναι απαραίτητη η σωστή δημιουργία και λειτουργία ενός συστήματος εσωτερικού ελέγχου. Ακόμη και αν ένας ανάδοχος προκαλέσει ένα περιστατικό ασφάλειας, όπως διαρροή πληροφοριών, ο αναθέτων μπορεί να κληθεί να αναλάβει ευθύνη, και δεν μπορεί να αποφύγει την υποβάθμιση της εταιρικής εικόνας. Για να αποφευχθούν τέτοιες καταστάσεις, είναι απαραίτητο να έχει δημιουργηθεί εκ των προτέρων ένα σύστημα εσωτερικού ελέγχου που λειτουργεί επαρκώς ακόμα και στον ανάδοχο.
Για την δημιουργία και λειτουργία ενός συστήματος εσωτερικού ελέγχου, που περιλαμβάνει την ανάπτυξη ενός συστήματος ασφάλειας πληροφοριών, παρακαλούμε συμβουλευτείτε έναν δικηγόρο.
Οδηγίες για τα Μέτρα από το Δικηγορικό μας Γραφείο
Το Δικηγορικό Γραφείο Monolith είναι ένα γραφείο με υψηλή εξειδίκευση στον τομέα της πληροφορικής, και ειδικότερα στο δίκαιο του διαδικτύου. Η ανάγκη για νομικό έλεγχο στη δημιουργία και διαχείριση εσωτερικών ελεγκτικών συστημάτων αυξάνεται συνεχώς. Παρακαλούμε διαβάστε το παρακάτω άρθρο για περισσότερες λεπτομέρειες.
Τομείς εξειδίκευσης του Δικηγορικού Γραφείου Monolith: Νομικά θέματα εταιρειών IT και startups
Related Articles
Εισαγωγή του νέου συστήματος για τις 'Γενικές Συνελεύσεις Μετόχων χωρίς συγκεκριμένο τόπο διεξαγ.
General Corporate
Περιεχόμενο της Αναθεώρησης του Νόμου για τα Φάρμακα και τις Ιατρικές Συσκευές του Πρώτου Έτους .
General Corporate
Αναλυτική εξήγηση των περιπτώσεων απαγόρευσης στις διαφημίσεις ιατρικών υπηρεσιών που περιλαμβάν.
General Corporate
Τα Κρίσιμα Σημεία των Αναθεωρήσεων στον Ιαπωνικό Νόμο περί Σημάτων και Νόμο περί Σχεδίων που Εφα.
General Corporate
Τι είναι το Scraping; Εξηγούμε τα νομικά ζητήματα της δημοφιλούς και χρήσιμης μεθόδου συλλογής δ.
General Corporate
Οι δικηγόροι εξηγούν τα οφέλη των ευρεσιτεχνιών και της απόκτησης δικαιωμάτων ευρεσιτεχνίας
General Corporate
