Kuidas vältida turvaintsidente tellimuse saajate juures? Selgitame tellija sisekontrollisüsteemi loomist ja haldamist
Ettevõtetel on kohustus luua sisemine kontrollsüsteem, mis on määratud Jaapani ettevõtete seaduse ja finantstoodete kauplemise seadusega. “Sisemine kontrollsüsteem” võib tunduda keeruline, kuid lihtsustatult öeldes on see süsteem, mis tagab ettevõtte tegevuse korrektse juhtimise ja riskide vältimise.
Kuidas aga sisemine kontrollsüsteem toimib suhetes välispartneritega? Eriti oluline on see küsimus ettevõtete jaoks, kes delegeerivad sageli erinevaid ülesandeid, nagu logistika ja hooldus, välispartneritele.
Käesolevas artiklis selgitame, kuidas rakendada sisemist kontrollsüsteemi allhankijate juures ja kuidas ennetada turvaintsidente.
Mis on sisekontrollisüsteem?
Sisekontrollisüsteem on organisatsiooniline vahend ja meetod, mida ettevõtted ja organisatsioonid vajavad nõuetekohase juhtimise jaoks, ja see on määratletud nii Jaapani äriühingute seaduses (Japanese Companies Act) kui ka finantsinstrumentide ja vahetustehingute seaduses (Japanese Financial Instruments and Exchange Act).
Äriühingute seaduse kohaselt on järgmistel ettevõtetel kohustus luua sisekontrollisüsteem:
- Suurettevõtted
- Ettevõtted, kus on loodud nimetamiskomitee või sarnane
- Ettevõtted, kus on loodud auditeerimiskomitee või sarnane
Lisaks nõuab finantsinstrumentide ja vahetustehingute seadus, et börsiettevõtetel oleks sisekontrollisüsteem ja nad peavad esitama sisekontrolli aruande iga majandusaasta kohta. Selle sisekontrolli aruande peab auditeerima vandeaudiitor või auditeerimisfirma.
Kui teabe lekkimine või muu kahju tekib sisekontrollisüsteemi puuduste tõttu, võivad ettevõte ja direktorid olla kahju hüvitamise eest vastutavad. Sisekontrollisüsteemi kohta, mis käsitleb teabe kaitset, on üksikasjalikumalt kirjeldatud järgmises artiklis, mida soovitame lugeda.
Seotud artikkel: Teabe lekkimise vältimise meetodid – mida peaks sisaldama ettevõtte sisekorraeeskirjad[ja]
Sisemise kontrollsüsteemi riskid, mis võivad tekkida äritegevuse delegeerimisel
Isegi kui teie ettevõte on kehtestanud infoturbealased eeskirjad, võib olla olukordi, kus delegeeritud ettevõte ei ole selliseid eeskirju kehtestanud või nende sisu on ebapiisav. Sellisel juhul võib delegeeritud ettevõttes tekkida turvaintsident.
Kui turvaintsident juhtub, võib isegi kui see juhtus delegeeritud ettevõttes, delegeeriva ettevõtte maine langeda, kuna neil on juhtimisvastutus.
Seetõttu on oluline, et äritegevuse delegeerimisel oleks delegeeritud ettevõttes loodud süsteem, mis väldiks turvaintsidente ja muid probleeme.
Sisemise kontrollisüsteemi, sealhulgas alltöövõtjate haldamise vajadus
Kohtupraktika põhjal on selge, et infojulgeoleku süsteemi loomine on üks olulisemaid elemente sisemise kontrollisüsteemi loomisel.
Kui ettevõtte või organisatsiooni infojulgeoleku süsteemis on puudujääke, mis põhjustavad kolmandatele isikutele kahju, võib juhatuse liikmeid süüdistada hoolsuskohustuse rikkumises, kuna nad on hooletusse jätnud sisemise kontrollisüsteemi loomise kohustuse. Samuti, kui alltöövõtja infojulgeoleku süsteemis on puudujääke, mis põhjustavad kolmandatele isikutele kahju, võib ettevõtte või juhatuse liikmete vastu esitada süüdistuse.
Kuigi pole teada juhtumeid, kus oleks tunnustatud kahjude hüvitamise nõudeid juhatuse liikmete vastu sisemise kontrollisüsteemi loomise kohustuse rikkumise tõttu, kui alltöövõtja haldamisel on puudujääke ja tekib turvaintsident, võib tulevikus olla võimalik, et esitatakse hagi.
Sisekontrollisüsteemi tähtsuse õppimine näidete kaudu
Vaatame, milliseid meetmeid tuleks võtta äritegevuse delegeerimisel, lähtudes varasematest näidetest.
Informatsiooni leke Jaapani pensioniametis
2015. aastal (Heisei 27) toimus Jaapani pensioniametis ebaseaduslik juurdepääs, mille tulemusena lekkisid isikuandmed, nagu põhipensioni number ja nimed.
Selle juhtumi tõttu loodi Jaapani pensioniameti ebaseadusliku juurdepääsu tõttu toimunud informatsioonilekke uurimiskomisjon (edaspidi “uurimiskomisjon”), mis koostas 21. augusti 2015. aasta aruande, milles kirjeldati juhtumi kulgu. Aruande kohaselt rünnati Jaapani pensioniameti LAN-süsteemi, mille tulemusena lekkis suur hulk isikuandmeid ühisest kaustast.
Süsteemi loomisel oli ette nähtud, et LAN-süsteemis ei käidelda isikuandmeid, kuid teatud tingimustel sai isikuandmeid LAN-süsteemi ühiskausta lisada. Lisaks ei olnud Jaapani pensioniameti LAN-süsteem suuteline vastu seisma sihitud rünnakutele, mistõttu kulus rünnaku märkamisest olukorra mõistmiseni palju aega.
Uurimiskomisjon tõi välja järgmised ennetusmeetmed:
- Inimressursside korraldamine (turvameetmete peakorteri loomine jne)
- Tervise- ja tööministeeriumi järelevalvesüsteemi korraldamine (tervise- ja tööministeeriumi infoturbe süsteemi korraldamine jne)
- Tehniline korraldamine (süsteemi korraldamine, mis põhineb töö tegelikkusel ja riskidel jne)
- Jaapani pensioniameti teadlikkuse muutmine
on vajalikud.
Lisaks oli lepingupartneriga sõlmitud ainult üldine kokkulepe infoturbe kohta, kuid konkreetset kokkulepet juhtumi korral tegutsemise kohta ei olnud, mistõttu reageerimine viibis ja kahju suurenes. (Allikas: Tervise- ja tööministeeriumi “21. augusti 2015. aasta uurimisraport[ja]“)
Selleks, et selliseid olukordi vältida, on vaja:
- sõlmida teenustaseme leping konkreetse sisuga
- leppida selgelt kokku, et hädaolukorra korral tegutseb lepingupartner
Teenustaseme leping (Service Level Agreement, SLA) on leping, milles teenusepakkuja ja teenuse saaja lepivad kokku teenuse kvaliteedi, kohaldamisala, vastuvõtmise viisi, vastutuse ja kulude osas. Lisaks võimaldab eelnev kokkulepe juhtumi korral tegutsemise osas võtta kiiresti asjakohaseid meetmeid.
Isikuandmete leke Benesse Corporationis
2014. aastal toimus Benesse Corporationis isikuandmete leke. See juhtus seetõttu, et alltöövõtja töötaja kopeeris kliendiandmeid ja müüs need nimekirjade müüjale, mille tulemusena lekkis umbes 29,89 miljonit kliendiandmete kirjet.
Selle juhtumi põhjuseks oli asjaolu, et vaatamata andmete juurdepääsuõiguse andmisele alltöövõtjatele ja nende alltöövõtjatele, puudus piisav järelevalvesüsteem, mis takistaks info lekkimist.
Võimalikeks meetmeteks on:
- Alltöövõtja tööülesannete ja info juurdepääsu ulatuse selge määratlemine lepingus
- Regulaarsete auditite läbiviimine alltöövõtjate juures
- Järelevalvesüsteemi kohta aruandluskohustuse kehtestamine alltöövõtjatele
- Olulise info käsitlejate määramine alltöövõtjate juures ja nende üle kontrolli teostamine
Üks klientidest esitas pärast seda juhtumit kohtusse kaebuse, nõudes Benesse Corporationilt 100 000 jeeni suurust kahjutasu, kuna tema ja tema lapse isikuandmed olid lekkinud.
Kuigi esimeses ja teises astmes kaotas klient, tühistas Jaapani Ülemkohus (Heisei 29 aasta ehk 2017. aasta 23. oktoobri otsusega) teise astme otsuse ja saatis asja tagasi Osakasse kõrgemasse kohtusse.
“Kuna ei ole piisavalt uuritud, kas apellandi vaimne kahju on privaatsuse rikkumise tõttu olemas ja milline see on, ei tohiks apellandi nõuet kohe tagasi lükata ainult sellepärast, et ei ole väidetud ega tõestatud, et ebamugavustunne ületav kahju on tekkinud.”
Heisei 28 aasta (vastuvõetud) nr 1892 kahjutasu nõude juhtum, Heisei 29 aasta 23. oktoobri teise väikese kohtu otsus[ja]
2019. aasta 20. novembril tunnistas Osaka kõrgem kohus privaatsuse rikkumise ja määras Benesse Corporationile 1 000 jeeni suuruse trahvi.
Esimeses ja teises astmes rõhutati mitte ainult privaatsuse rikkumist, vaid ka seda, kas kahju on tegelikult tekkinud. Ülemkohus aga otsustas, et tuleb uurida privaatsuse rikkumise küsimust, olenemata sellest, kas kahju on tekkinud või mitte. Teistes infoleketega seotud juhtumites on sageli tunnustatud kahjutasu nõudeid, mis põhinevad info lekkimisel, ja seda Ülemkohtu otsust võib pidada sellise trendi jätkuks.
Kokkuvõte: Konsulteerige advokaadiga sisemise kontrollsüsteemi kohta
Ettevõtte või organisatsiooni tervisliku juhtimise tagamiseks on vaja korralikult luua ja rakendada sisemist kontrollsüsteemi. Isegi kui alltöövõtja põhjustab turvaintsidenti, nagu infolekke, võib alltöövõtjat vastutusele võtta ja ettevõtte maine võib samuti kannatada. Selliste olukordade vältimiseks peab alltöövõtjal olema eelnevalt loodud mehhanism, mis tagab sisemise kontrollsüsteemi piisava toimimise.
Palun konsulteerige advokaadiga sisemise kontrollsüsteemi, sealhulgas infoturvasüsteemi loomise ja rakendamise kohta.
Meie büroo poolt pakutavad meetmed
Monolithi õigusbüroo on IT- ja eriti internetiõiguse mõlemal küljel kõrge spetsialiseerumisega õigusbüroo. Sisemise kontrollisüsteemi loomise ja haldamisega seotud õigusliku kontrolli vajadus kasvab üha enam. Üksikasjad on kirjeldatud allpool toodud artiklis.
Monolithi õigusbüroo tegevusvaldkonnad: IT ja idufirmade ettevõtteõigus[ja]