MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

¿Cómo prevenir incidentes de seguridad en el contratista? Explicación de la construcción y operación del sistema de control interno del cliente

General Corporate

¿Cómo prevenir incidentes de seguridad en el contratista? Explicación de la construcción y operación del sistema de control interno del cliente

A las empresas se les exige la implementación de un sistema de control interno según la ‘Ley Japonesa de Sociedades’ y la ‘Ley Japonesa de Instrumentos Financieros y Cambiarios’. Aunque el término “sistema de control interno” puede parecer complicado, en términos simples, se refiere a un sistema diseñado para operar adecuadamente las actividades de la empresa y prevenir riesgos.

Entonces, ¿cómo funciona el sistema de control interno en relación con los socios comerciales externos? En particular, se convierte en un problema ya que las empresas a menudo subcontratan varias operaciones, como la logística y el mantenimiento, a entidades externas.

En este artículo, explicaremos las medidas para operar el sistema de control interno en el contratista y prevenir incidentes de seguridad.

¿Qué es el Sistema de Control Interno?

¿Qué es el Sistema de Control Interno?

El Sistema de Control Interno se refiere a los medios y métodos organizativos necesarios para que una empresa u organización lleve a cabo una gestión adecuada, y está definido tanto en la Ley de Sociedades Japonesa (Ley de Sociedades de Japón) como en la Ley de Instrumentos Financieros y Cambiarios Japonesa (Ley de Instrumentos Financieros y Cambiarios de Japón).

Según la Ley de Sociedades Japonesa, las siguientes empresas están obligadas a establecer un Sistema de Control Interno:

  • Grandes empresas
  • Empresas con un Comité de Nominaciones establecido
  • Empresas con un Comité de Auditoría establecido

Además, la Ley de Instrumentos Financieros y Cambiarios Japonesa impone a las empresas cotizadas la obligación de establecer un Sistema de Control Interno, y deben presentar un informe de control interno para cada año fiscal. Este informe de control interno debe ser auditado y certificado por un contador público certificado o una firma de auditoría.

Si se produce un daño debido a una fuga de información u otro incidente debido a deficiencias en el Sistema de Control Interno, la empresa y sus directores pueden ser responsables de indemnizar el daño. Para obtener más información sobre el Sistema de Control Interno relacionado con la protección de la información, consulte el siguiente artículo.

Artículo relacionado: Explicación de las medidas para prevenir fugas de información. Contenido de las regulaciones internas que deben ser establecidas[ja]

Riesgos en el sistema de control interno que pueden surgir durante la subcontratación de servicios

Aunque su empresa haya establecido normas relacionadas con la seguridad de la información, si la empresa subcontratada no ha establecido dichas normas o si su contenido es insuficiente, existe la posibilidad de que ocurra un incidente de seguridad en la empresa subcontratada.

En caso de un incidente de seguridad, incluso si el incidente ocurrió en la empresa subcontratada, existe el riesgo de que la imagen de la empresa contratante, que tiene la responsabilidad de gestión, se vea afectada.

Por lo tanto, es importante establecer un sistema en la empresa subcontratada para evitar incidentes de seguridad y similares durante la subcontratación de servicios.

Es necesario un sistema de control interno que incluya la gestión de contratistas

Considerando los precedentes, el desarrollo de un sistema de seguridad de la información es un elemento importante en la construcción de un sistema de control interno.

Si una empresa u organización causa daño a terceros debido a deficiencias en su sistema de seguridad de la información, existe la posibilidad de que los directores sean acusados de violar su deber de diligencia por negligencia en la construcción del sistema de control interno. Además, si hay deficiencias en el sistema de seguridad de la información del contratista y esto causa daño a terceros, es posible que la empresa contratante y sus directores también sean responsabilizados.

Aunque no se han confirmado casos en los que se haya admitido una reclamación de indemnización por daños y perjuicios basada en la violación del deber de diligencia debido a la violación del deber de construir un sistema de control interno contra los directores de la empresa contratante cuando se produce un incidente de seguridad debido a deficiencias en la gestión del contratista, se considera que existe la posibilidad de que se presenten demandas en el futuro.

La importancia del sistema de control interno a través de ejemplos

Medidas a tomar cuando se externaliza

Aquí, basándonos en ejemplos pasados, veremos qué medidas deberíamos tomar cuando externalizamos servicios.

Caso de fuga de información en la Organización de Pensiones de Japón

En 2015, se confirmó la fuga de información personal, como números de pensión básica y nombres, debido a un acceso no autorizado en la Organización de Pensiones de Japón.

En relación con este caso, se estableció el Comité de Verificación del Caso de Fuga de Información por Acceso No Autorizado en la Organización de Pensiones de Japón (en adelante, “Comité de Verificación”), y se elaboró un informe de verificación con fecha del 21 de agosto de 2015 (año 27 de Heisei). Según este informe, el sistema LAN de la Organización de Pensiones de Japón fue atacado y se filtró una gran cantidad de información personal de la carpeta compartida.

Cuando se construyó el sistema, se suponía que no se manejaría información personal en el sistema LAN, pero parece que se permitió que la información personal se introdujera en la carpeta compartida del sistema LAN bajo ciertas condiciones. Además, el sistema LAN de la Organización de Pensiones de Japón no estaba operando de manera que pudiera responder a ataques dirigidos, por lo que tomó tiempo entender la situación incluso después de darse cuenta del ataque.

El Comité de Verificación ha propuesto como medidas para prevenir la recurrencia:

  • Establecimiento de un sistema humano (como la creación de un departamento de medidas de seguridad)
  • Establecimiento del sistema de supervisión del Ministerio de Salud, Trabajo y Bienestar (como la mejora del sistema de seguridad de la información del Ministerio de Salud, Trabajo y Bienestar)
  • Mejora técnica (como el desarrollo de sistemas basados en la realidad y los riesgos del negocio)
  • Reforma de la conciencia de la Organización de Pensiones de Japón

Además, sólo se había llegado a un acuerdo general sobre la protección de la seguridad de la información con el contratista, y no había un acuerdo claro sobre cómo responder específicamente cuando ocurriera un incidente, lo que retrasó la respuesta y aumentó el daño. (Fuente: Ministerio de Salud, Trabajo y Bienestar, “Informe de verificación con fecha del 21 de agosto de 2015[ja]“)

Para prevenir tales situaciones, será necesario:

  • Establecer un Acuerdo de Nivel de Servicio con contenido específico
  • Acordar claramente que el contratista manejará la respuesta en caso de emergencia

El Acuerdo de Nivel de Servicio (Service Level Agreement, SLA) es un contrato en el que el proveedor de servicios y el receptor de servicios acuerdan sobre la calidad del servicio, el alcance de la aplicación, la forma de recepción, la responsabilidad y los costos, entre otras cosas. Además, al acordar de antemano cómo responder en caso de un incidente, es posible tomar medidas rápidas y apropiadas.

Caso de fuga de información personal en Benesse Corporation

En 2014, se produjo un caso de fuga de información personal en Benesse Corporation. Como resultado, aproximadamente 29.89 millones de registros de información del cliente se filtraron debido a que un empleado del contratista copió los datos del cliente y los vendió a un vendedor de listas.

Como causa de este caso, se menciona el hecho de que, a pesar de que se había otorgado acceso a los datos a los subcontratistas y a los sub-subcontratistas, no había un sistema de supervisión suficiente para evitar la fuga de información.

Como medidas, se pueden considerar:

  • Definir claramente en el contrato el alcance del trabajo y el acceso a la información del contratista
  • Realizar auditorías periódicas al contratista
  • Imponer al contratista la obligación de informar sobre el sistema de supervisión
  • Decidir quién manejará la información importante en el contratista y realizar una revisión

Además, uno de los clientes presentó una demanda contra Benesse Corporation, el proveedor del servicio, solicitando una indemnización por daños y perjuicios de 100,000 yenes debido a la fuga de su información personal y la de su hijo en este incidente.

En el primer y segundo juicio, el cliente perdió, pero en la sentencia del Tribunal Supremo con fecha del 23 de octubre de 2017 (año 29 de Heisei),

“Sin realizar una investigación suficiente sobre la existencia y el grado del daño mental del apelante debido a la violación de la privacidad, se decidió que se debería rechazar la demanda del apelante simplemente porque no se había alegado ni probado la existencia de un daño que superara la incomodidad”

Sentencia del Segundo Tribunal Pequeño del 23 de octubre de 2017, Caso de Solicitud de Indemnización por Daños y Perjuicios No. 1892 (Recibido) del año 28 de Heisei[ja]

Se anuló la sentencia de segunda instancia y se devolvió el caso al Tribunal Superior de Osaka para su revisión.

El 20 de noviembre de 2019, el Tribunal Superior de Osaka reconoció la violación de la privacidad y ordenó a Benesse Corporation pagar 1,000 yenes.

En el primer y segundo juicio, se enfatizó no sólo la violación de la privacidad, sino también si realmente se había producido un daño. Sin embargo, el Tribunal Supremo decidió que se debería examinar si había habido una violación de la privacidad, independientemente de si había habido un daño. En otros casos de fuga de información, hay muchos casos en los que se reconoce la demanda de indemnización por daños y perjuicios basada en la fuga de información, y se cree que esta sentencia del Tribunal Supremo está en línea con esa tendencia.

Resumen: Consulte a un abogado sobre el sistema de control interno

Para una gestión saludable de la empresa u organización, es necesario construir y operar adecuadamente un sistema de control interno. Incluso si el contratista causa un incidente de seguridad, como una fuga de información, el cliente puede ser considerado responsable y no puede evitar una disminución en la imagen de la empresa. Para evitar tal situación, es necesario construir un sistema que permita que el sistema de control interno funcione adecuadamente en el contratista.

Por favor, consulte a un abogado sobre la construcción y operación del sistema de control interno, incluyendo la implementación del sistema de seguridad de la información.

Presentación de las medidas propuestas por nuestro despacho

El despacho de abogados Monolith es una firma legal con alta especialización en IT, especialmente en los aspectos legales de Internet. La necesidad de realizar controles legales en la construcción y operación de sistemas de control interno está aumentando cada vez más. Los detalles se describen en el artículo a continuación.

Áreas de práctica del despacho de abogados Monolith: Asuntos corporativos de IT y startups[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Volver arriba