Miten estää turvallisuusongelmat alihankkijalla? Selitämme, kuinka rakentaa ja ylläpitää tilaajan sisäisen valvonnan järjestelmää

Yrityksille on määrätty yrityslain ja arvopaperimarkkinalain mukaan sisäisen valvontajärjestelmän luominen. “Sisäinen valvontajärjestelmä” saattaa tuntua monimutkaiselta, mutta yksinkertaisesti sanottuna se on järjestelmä, joka mahdollistaa yrityksen toiminnan asianmukaisen hallinnan ja riskien ehkäisemisen.

Miten sisäinen valvontajärjestelmä toimii sitten suhteessa ulkoisiin kauppakumppaneihin? Erityisesti yritykset, jotka usein ulkoistavat erilaisia tehtäviä, kuten logistiikkaa ja huoltoa, kohtaavat tämän ongelman.

Tässä artikkelissa selitämme, miten sisäisen valvontajärjestelmän käyttö ja turvallisuusuhkien ehkäiseminen voidaan toteuttaa ulkoistuskohteissa.

Mikä on sisäinen valvontajärjestelmä?

Sisäinen valvontajärjestelmä viittaa organisaation menetelmiin ja keinoihin, jotka ovat tarpeen yrityksen tai organisaation asianmukaisen johtamisen kannalta. Ne on määritelty sekä Japanin yhtiölaissa (‘Japanilainen Yhtiölaki’) että rahoitusvälineiden ja pörssikaupan laissa (‘Japanilainen Rahoitusvälineiden ja Pörssikaupan Laki’).

Japanin yhtiölain mukaan seuraavien yritysten on pakko luoda sisäinen valvontajärjestelmä:

• Suuret yritykset
• Yritykset, joilla on nimittävä komitea tai vastaava
• Yritykset, joilla on tarkastuskomitea tai vastaava

Lisäksi Japanin rahoitusvälineiden ja pörssikaupan laissa pörssilistatuille yrityksille on asetettu velvollisuus luoda sisäinen valvontajärjestelmä, ja heidän on jätettävä sisäisen valvonnan raportti jokaisen tilikauden jälkeen. Tämä sisäisen valvonnan raportti vaatii vahvistuksen julkiselta tilintarkastajalta tai tilintarkastusyhteisöltä.

Jos tietovuoto tai vastaava tapahtuu sisäisen valvontajärjestelmän puutteiden vuoksi ja aiheuttaa vahinkoa, yritys tai sen johtajat saattavat joutua korvausvastuuseen. Tietosuojaa koskevasta sisäisestä valvontajärjestelmästä on yksityiskohtainen selostus seuraavassa artikkelissa, johon voit tutustua.

Liittyvä artikkeli: Selittää tietovuotojen ehkäisemisen – Mitä yrityksen sisäisiä sääntöjä tulisi kehittää[ja]

Sisäisen valvontajärjestelmän riskit, jotka voivat ilmetä liiketoiminnan ulkoistamisen yhteydessä

Vaikka yrityksesi olisi laatinut omat tietoturvaan liittyvät säännöt, on mahdollista, että ulkoistuskumppanisi ei ole laatinut vastaavia sääntöjä tai niiden sisältö on riittämätön. Tämä voi johtaa tietoturvaloukkauksiin ulkoistuskumppanin toiminnassa.

Jos tietoturvaloukkaus tapahtuu, vaikka se olisikin tapahtunut ulkoistuskumppanin toiminnassa, on olemassa riski, että ulkoistavan yrityksen imago kärsii, koska sillä on hallinnollinen vastuu.

Siksi on tärkeää, että ulkoistettaessa liiketoimintaa, myös ulkoistuskumppanilla on järjestelmä, joka estää tietoturvaloukkauksia ja muita vastaavia tapahtumia.

Sisäisen valvonnan järjestelmä, joka sisältää alihankkijoiden hallinnan, on välttämätön

Oikeustapausten ja muiden lähteiden perusteella voidaan päätellä, että tietoturvajärjestelmän kehittäminen on yksi tärkeimmistä tekijöistä sisäisen valvonnan järjestelmän rakentamisessa.

Jos yrityksen tai organisaation tietoturvajärjestelmässä on puutteita, jotka aiheuttavat vahinkoa kolmansille osapuolille, hallituksen jäseniä voidaan syyttää huolellisuusvelvollisuuden laiminlyönnistä, koska he ovat laiminlyöneet sisäisen valvonnan järjestelmän rakentamisvelvollisuuden. Lisäksi, jos alihankkijan tietoturvajärjestelmässä on puutteita, jotka aiheuttavat vahinkoa kolmansille osapuolille, myös yrityksen tai hallituksen jäseniä voidaan syyttää vastuusta.

Huomautettakoon, että vaikka ei ole vahvistettu tapauksia, joissa alihankkijan hallinnan puutteiden vuoksi tietoturvapoikkeaman sattuessa yrityksen hallituksen jäseniä vastaan olisi hyväksytty vahingonkorvausvaatimuksia huolellisuusvelvollisuuden laiminlyönnin perusteella sisäisen valvonnan järjestelmän rakentamisvelvollisuuden laiminlyönnin vuoksi, on mahdollista, että tulevaisuudessa nostetaan kanteita.

Esimerkkien avulla ymmärrämme sisäisen valvontajärjestelmän tärkeyden

Tässä tarkastelemme, millaisia toimenpiteitä tulisi toteuttaa liiketoiminnan ulkoistamisen yhteydessä, ottaen huomioon aikaisemmat esimerkit.

Tietovuoto Japanin eläkelaitoksessa

Vuonna 2015 (Heisei 27), Japanin eläkelaitoksessa tapahtui luvaton pääsy, joka johti tietovuotoon, ja peruseläkenumeroiden sekä muiden henkilötietojen vuotaminen vahvistettiin.

Tämän tapauksen yhteydessä perustettiin Japanin eläkelaitoksen luvattoman pääsyn ja tietovuodon tutkintakomitea (jäljempänä “tutkintakomitea”), joka laati 21. elokuuta 2015 päivätyn tutkintaraportin tapahtumien kulusta. Raportin mukaan Japanin eläkelaitoksen LAN-järjestelmä hyökättiin ja suuri määrä henkilötietoja vuoti yhteisestä kansiosta.

Järjestelmän rakentamisen yhteydessä oli sovittu, ettei henkilötietoja käsitellä LAN-järjestelmässä, mutta näyttää siltä, että tietyissä olosuhteissa henkilötietoja pystyttiin sijoittamaan LAN-järjestelmän yhteiseen kansioon. Lisäksi Japanin eläkelaitoksen LAN-järjestelmä ei ollut valmistautunut kohdennettuihin hyökkäyksiin, minkä vuoksi hyökkäyksen havaitsemisen jälkeen tilanteen selvittäminen vei aikaa.

Tutkintakomitea ehdotti toistumisen estämiseksi seuraavia toimenpiteitä:

• Ihmisten järjestelmän kehittäminen (turvallisuustoimenpiteiden pääkonttorin perustaminen jne.)
• Sosiaali- ja työministeriön valvontajärjestelmän kehittäminen (Sosiaali- ja työministeriön tietoturvajärjestelmän kehittäminen jne.)
• Tekninen kehittäminen (järjestelmän kehittäminen liiketoiminnan todellisuuden ja riskien perusteella jne.)
• Japanin eläkelaitoksen asennemuutos

He mainitsivat nämä seikat.

Lisäksi, koska palveluntarjoajan kanssa oli tehty vain yleinen sopimus tietoturvan suojelusta, ja konkreettisesta toiminnasta tapahtuman sattuessa ei ollut selkeää sopimusta, reagointi viivästyi ja vahinko kasvoi. (Lähde: Sosiaali- ja työministeriö “21. elokuuta 2015 päivätty tutkintaraportti[ja]“)

Tällaisten tilanteiden välttämiseksi tarvitaan seuraavia toimenpiteitä:

• Sopiminen palvelutasosopimuksesta konkreettisilla ehdoilla
• Sopiminen siitä, että palveluntarjoaja hoitaa hätätilanteen

Nämä ovat tarpeellisia.

Palvelutasosopimus (Service Level Agreement, SLA) on sopimus, joka tehdään palvelun tarjoajan ja palvelun vastaanottajan välillä palvelun laadusta, soveltamisalasta, vastaanottotavasta, vastuusta ja kustannuksista. Lisäksi sopimalla etukäteen tapahtuman sattuessa toiminnasta, voidaan reagoida nopeasti ja asianmukaisesti.

Henkilötietojen vuoto Benesse Corporationissa

Vuonna 2014 Benesse Corporationissa tapahtui henkilötietojen vuoto. Tämä johtui siitä, että alihankkijan työntekijä kopioi asiakastietoja ja myi ne luetteloyritykselle, minkä seurauksena noin 29,89 miljoonaa asiakastietoa vuoti.

Vuodon syynä oli se, että vaikka tietojen käyttöoikeus oli annettu alihankkijoille ja niiden alihankkijoille, ei ollut riittävää valvontajärjestelmää tietojen vuotamisen estämiseksi.

Mahdollisia toimenpiteitä ovat:

• Alihankkijan tehtävänkuvan ja tietojen käyttöoikeuden määrittely selkeästi sopimuksessa
• Säännöllisten auditointien suorittaminen alihankkijoille
• Valvontajärjestelmää koskevan raportointivelvollisuuden asettaminen alihankkijoille
• Tärkeiden tietojen käsittelijän määrittäminen alihankkijalla ja sen tarkastaminen

Yksi asiakkaista nosti myöhemmin oikeusjutun Benesse Corporationia vastaan vaatien 100 000 jenin vahingonkorvausta, koska hänen ja hänen lapsensa henkilötiedot olivat vuotaneet tässä tapauksessa.

Asiakas hävisi sekä ensimmäisen että toisen oikeusasteen, mutta 23. lokakuuta 2017 (Heisei 29) annetulla korkeimman oikeuden päätöksellä,

“Se, että valittajan vaatimus hylättiin suoraan vain sillä perusteella, että ei ollut esitetty tai todistettu vahinkoa, joka ylittää epämukavuuden, ilman riittävää tutkimusta valittajan henkisen vahingon olemassaolosta ja sen asteesta yksityisyyden loukkaamisen vuoksi”

Vahingonkorvausvaatimus, päätös 23.10.2017 (Heisei 29), toinen pieni oikeussali[ja]

toisen oikeusasteen päätös kumottiin ja asia palautettiin Osakan korkeimmalle oikeudelle.

20. marraskuuta 2019 Osakan korkein oikeus tunnusti yksityisyyden loukkauksen ja määräsi Benesse Corporationin maksamaan 1 000 jeniä.

Ensimmäisessä ja toisessa oikeusasteessa painotettiin paitsi yksityisyyden loukkausta, myös sitä, oliko vahinkoa todella tapahtunut. Korkein oikeus kuitenkin katsoi, että yksityisyyden loukkausta olisi pitänyt tutkia riippumatta siitä, oliko vahinkoa tapahtunut. Muita tietovuotoja koskevissa tapauksissa vahingonkorvausvaatimukset tietovuodon perusteella ovat yleisiä, ja tämän korkeimman oikeuden päätöksen voidaan katsoa seuraavan tätä suuntausta.

Yhteenveto: Konsultoi asianajajaa sisäisen valvontajärjestelmän suhteen

Yrityksen tai organisaation terveen liiketoiminnan ylläpitämiseksi on välttämätöntä rakentaa ja ylläpitää asianmukaisesti sisäistä valvontajärjestelmää. Vaikka alihankkija aiheuttaisi tietovuodon tai muun turvallisuusongelman, alihankinnan tilaaja saattaa joutua vastuuseen, eikä yrityksen maineen heikkenemistä voida välttää. Tällaisten tilanteiden välttämiseksi on välttämätöntä, että myös alihankkijalla on sisäinen valvontajärjestelmä, joka toimii tehokkaasti.

Ota yhteyttä asianajajaan sisäisen valvontajärjestelmän, mukaan lukien tietoturvajärjestelmän, rakentamiseen ja ylläpitämiseen liittyvissä asioissa.

Toimenpiteet, joita toimistomme tarjoaa

Monolith Lakitoimisto on lakitoimisto, jolla on korkea asiantuntemus IT:ssä, erityisesti internetissä ja laissa. Sisäisen valvontajärjestelmän rakentamisen ja toiminnan oikeudellisen tarkastuksen tarve kasvaa jatkuvasti. Yksityiskohtia on kuvattu alla olevassa artikkelissa.

Monolith Lakitoimiston käsittelemät alueet: IT- ja startup-yritysten yrityslaki[ja]