MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

Comment prévenir les incidents de sécurité chez les prestataires ? Explication de la construction et de l'exploitation du système de contrôle interne de l'entreprise commanditaire

General Corporate

Comment prévenir les incidents de sécurité chez les prestataires ? Explication de la construction et de l'exploitation du système de contrôle interne de l'entreprise commanditaire

Les entreprises sont tenues de mettre en place un système de contrôle interne en vertu de la loi japonaise sur les sociétés (Loi sur les sociétés japonaises) et de la loi japonaise sur les instruments financiers et les échanges (Loi sur les instruments financiers et les échanges japonais). Le terme “système de contrôle interne” peut sembler complexe, mais pour le dire simplement, il s’agit d’un système conçu pour gérer correctement les opérations de l’entreprise et prévenir les risques.

Alors, comment fonctionne le système de contrôle interne dans les relations avec les partenaires externes ? C’est une question qui se pose souvent, car les entreprises ont tendance à externaliser diverses opérations, telles que la logistique et la maintenance.

Cet article explique les mesures à prendre pour prévenir les incidents de sécurité et gérer le système de contrôle interne chez les prestataires de services.

Qu’est-ce que le système de contrôle interne ?

Qu'est-ce que le système de contrôle interne ?

Le système de contrôle interne est un ensemble de moyens et de méthodes organisationnelles nécessaires pour une gestion appropriée des entreprises et des organisations. Il est défini respectivement par la loi japonaise sur les sociétés (Loi sur les sociétés japonaises) et la loi japonaise sur les instruments financiers et les échanges (Loi sur les instruments financiers et les échanges japonais).

Selon la loi sur les sociétés japonaises, les types d’entreprises suivants sont tenus de mettre en place un système de contrôle interne :

  • Grandes entreprises
  • Entreprises avec un comité de nomination
  • Entreprises avec un comité d’audit

De plus, selon la loi japonaise sur les instruments financiers et les échanges, les entreprises cotées sont tenues de mettre en place un système de contrôle interne et de soumettre un rapport de contrôle interne pour chaque exercice. Ce rapport de contrôle interne doit être certifié par un auditeur agréé ou une société d’audit.

Si des dommages surviennent en raison d’une fuite d’informations ou d’autres problèmes dus à des lacunes dans le système de contrôle interne, l’entreprise et ses directeurs peuvent être tenus responsables des dommages. Pour plus d’informations sur le système de contrôle interne pour la protection des informations, veuillez consulter l’article ci-dessous.

Article connexe : Explication des mesures de prévention des fuites d’informations et du contenu des règlements internes à mettre en place[ja]

Risques liés au système de contrôle interne susceptibles de survenir lors de la sous-traitance

Même si votre entreprise a établi ses propres règlements en matière de sécurité de l’information, il se peut que le sous-traitant n’ait pas établi de tels règlements, ou que leur contenu soit insuffisant. Dans ce cas, il est possible qu’un incident de sécurité se produise chez le sous-traitant.

En cas d’incident de sécurité, même s’il s’agit d’un accident survenu chez le sous-traitant, il existe un risque que l’image de l’entreprise qui a confié la tâche et qui en a la responsabilité de gestion, soit ternie.

Par conséquent, lors de la sous-traitance, il est important de mettre en place un système chez le sous-traitant pour éviter les incidents de sécurité et autres.

Un système de contrôle interne incluant la gestion des sous-traitants est nécessaire

En tenant compte des précédents juridiques, la mise en place d’un système de sécurité de l’information est un élément crucial dans la construction d’un système de contrôle interne.

Si une entreprise ou une organisation cause des dommages à un tiers en raison d’un défaut dans son système de sécurité de l’information, il est possible que les dirigeants soient accusés de négligence dans l’exécution de leur devoir de diligence pour avoir négligé leur obligation de mettre en place un système de contrôle interne. De plus, si un sous-traitant a un défaut dans son système de sécurité de l’information qui cause des dommages à un tiers, l’entreprise ou les dirigeants qui ont confié le travail peuvent également être tenus responsables.

Il n’y a pas encore eu de cas où une demande d’indemnisation pour violation du devoir de diligence basée sur la violation de l’obligation de mettre en place un système de contrôle interne a été reconnue à l’encontre des dirigeants de l’entreprise qui a confié le travail en cas d’incident de sécurité dû à un défaut de gestion chez le sous-traitant. Cependant, il est possible que des poursuites soient intentées à l’avenir.

L’importance du système de contrôle interne à travers des exemples

Mesures à prendre lors de l'externalisation

Ici, nous allons examiner quelles mesures devraient être prises lors de la sous-traitance des opérations, en tenant compte des exemples passés.

Le cas de fuite d’informations à la Japan Pension Service

En 2015 (2015 dans le calendrier grégorien), une fuite d’informations due à un accès non autorisé a eu lieu à la Japan Pension Service, et la fuite d’informations personnelles telles que les numéros de pension de base et les noms a été confirmée.

À cet égard, un comité d’examen de la fuite d’informations due à un accès non autorisé à la Japan Pension Service (ci-après dénommé “le comité d’examen”) a été créé, et un rapport d’examen daté du 21 août 2015 a été rédigé. Selon ce rapport, le système LAN de la Japan Pension Service a été attaqué et une grande quantité d’informations personnelles dans le dossier partagé a été divulguée.

Lors de la construction du système, il était prévu que les informations personnelles ne seraient pas traitées sur le système LAN, mais il semble que les informations personnelles aient pu être placées dans le dossier partagé sur le système LAN sous certaines conditions. De plus, le système LAN de la Japan Pension Service n’était pas exploité de manière à pouvoir faire face à des attaques ciblées, ce qui a pris du temps pour comprendre la situation même après avoir détecté l’attaque.

Le comité d’examen a proposé comme mesures de prévention de la récidive :

  • La mise en place d’un système humain (création d’un quartier général pour les mesures de sécurité, etc.)
  • La mise en place d’un système de supervision du ministère de la Santé, du Travail et des Affaires sociales (mise en place d’un système de sécurité de l’information au ministère de la Santé, du Travail et des Affaires sociales, etc.)
  • La mise en place de mesures techniques (mise en place d’un système basé sur la réalité et les risques des opérations, etc.)
  • La réforme de la conscience de la Japan Pension Service

ont été mentionnées.

De plus, il n’y avait qu’un accord général sur la protection de la sécurité de l’information entre le contractant et le sous-traitant, et il n’y avait pas d’accord clair sur la manière de réagir en cas d’incident réel, ce qui a retardé la réponse et a augmenté les dommages. (Source : Ministère de la Santé, du Travail et des Affaires sociales “Rapport d’examen daté du 21 août de l’année Heisei 27[ja]“)

Pour prévenir de telles situations, il sera nécessaire de :

  • Conclure un accord de niveau de service avec un contenu spécifique
  • Convenir clairement que le sous-traitant interviendra en cas d’urgence

Le Service Level Agreement (SLA) est un contrat conclu entre le fournisseur de services et le bénéficiaire des services, qui définit la qualité du service, la portée de l’application, la méthode de réception, la responsabilité et les coûts, etc. De plus, en convenant à l’avance de la manière de réagir en cas d’incident, il est possible de prendre rapidement les mesures appropriées.

Le cas de fuite d’informations personnelles à Benesse Corporation

En 2014 (2014 dans le calendrier grégorien), un incident de fuite d’informations personnelles s’est produit à Benesse Corporation. Cela a été causé par un employé du sous-traitant qui a copié les données des clients et les a vendues à un vendeur de listes, ce qui a entraîné la fuite d’environ 29,89 millions d’informations clients.

La cause de cet incident est que, bien que l’accès aux données ait été accordé jusqu’au sous-traitant secondaire et tertiaire, il n’y avait pas de système de surveillance suffisant pour empêcher la fuite d’informations.

Comme mesures, on peut envisager :

  • De définir clairement dans le contrat la portée des opérations du sous-traitant et l’accès aux informations
  • De réaliser des audits réguliers du sous-traitant
  • D’imposer au sous-traitant une obligation de rapport sur le système de surveillance
  • De désigner les personnes qui traiteront les informations importantes chez le sous-traitant et de procéder à un examen

Un des clients a intenté un procès contre Benesse Corporation, le fournisseur de services, demandant une indemnisation de 100 000 yens pour la fuite de ses informations personnelles et celles de son enfant dans cet incident.

Le client a perdu en première et en deuxième instance, mais dans l’arrêt de la Cour suprême du 23 octobre de l’année Heisei 29 (2017 dans le calendrier grégorien),

“Il est inapproprié de rejeter immédiatement la demande de l’appelant simplement parce qu’il n’y a pas eu de revendication ou de preuve de dommages dépassant le sentiment de malaise, sans avoir suffisamment examiné l’existence et l’étendue des dommages psychologiques de l’appelant dus à l’atteinte à la vie privée.”

Arrêt de la deuxième petite chambre du 23 octobre de l’année Heisei 29, affaire de demande d’indemnisation pour dommages et intérêts, numéro (reçu) Heisei 28 n°1892[ja]

Il a annulé l’arrêt de la deuxième instance et renvoyé l’affaire à la Haute Cour d’Osaka pour examen.

Le 20 novembre 2019 (2019 dans le calendrier grégorien), la Haute Cour d’Osaka a reconnu l’atteinte à la vie privée et a ordonné à Benesse Corporation de payer 1 000 yens.

En première et en deuxième instance, l’accent a été mis non seulement sur l’atteinte à la vie privée, mais aussi sur la question de savoir si des dommages réels ont été causés. Cependant, la Cour suprême a jugé qu’il fallait examiner l’atteinte à la vie privée, qu’il y ait eu des dommages ou non. Dans d’autres cas de fuite d’informations, il y a de nombreux cas où les demandes d’indemnisation pour dommages basées sur la fuite d’informations sont reconnues, et on peut penser que cet arrêt de la Cour suprême est conforme à cette tendance.

En résumé : Consultez un avocat pour le système de contrôle interne

Pour une gestion saine d’une entreprise ou d’une organisation, il est nécessaire de construire et d’exploiter correctement un système de contrôle interne. Même si le sous-traitant provoque un incident de sécurité tel qu’une fuite d’informations, le donneur d’ordre peut être tenu responsable, et l’image de l’entreprise ne peut pas être épargnée. Pour éviter une telle situation, il est nécessaire de construire à l’avance un système qui permet au système de contrôle interne de fonctionner correctement chez le sous-traitant.

Veuillez consulter un avocat pour la construction et l’exploitation du système de contrôle interne, y compris le système de sécurité de l’information.

Présentation des mesures prises par notre cabinet

Le cabinet d’avocats Monolith est un cabinet d’avocats spécialisé dans l’IT, et plus particulièrement dans l’Internet et le droit. La nécessité d’un contrôle juridique de la mise en place et de l’exploitation des systèmes de contrôle interne est de plus en plus grande. Vous trouverez plus de détails dans l’article ci-dessous.

Domaines de pratique du cabinet d’avocats Monolith : Affaires d’entreprise pour IT et startups[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Retourner En Haut