आवंटित स्थल की सुरक्षा घटनाओं को कैसे रोकें? आदेश देने वाले के आंतरिक नियंत्रण प्रणाली का निर्माण और संचालन की व्याख्या

उद्योगों के लिए, जापानी कंपनी कानून (Company Law) और जापानी वित्तीय उत्पाद व्यापार कानून (Financial Instruments and Exchange Law) के अनुसार, आंतरिक नियंत्रण प्रणाली का निर्माण अनिवार्य है। ‘आंतरिक नियंत्रण प्रणाली’ थोड़ी कठिन लग सकती है, लेकिन सीधे शब्दों में कहें तो यह कंपनी के कार्यवाही को उचित रूप से संचालित करने और जोखिम को रोकने के लिए एक व्यवस्था है।

तो, आंतरिक नियंत्रण प्रणाली बाहरी व्यापार संबंधियों के साथ कैसे काम करती है? विशेष रूप से, उद्योगों में यह समस्या होती है क्योंकि वे अक्सर विभिन्न कार्यवाही, जैसे कि लॉजिस्टिक्स और रखरखाव, को बाहरी एजेंसियों को सौंपते हैं।

इस लेख में, हम आपको ठेकेदारों की आंतरिक नियंत्रण प्रणाली के प्रयोग और सुरक्षा घटनाओं को रोकने के उपायों के बारे में विस्तार से बताएंगे।

आंतरिक नियंत्रण प्रणाली क्या है

आंतरिक नियंत्रण प्रणाली वह संगठनात्मक उपाय और तरीके हैं जो किसी कंपनी या संगठन को उचित प्रबंधन करने के लिए आवश्यक होते हैं, और ये जापानी कंपनी कानून और वित्तीय उत्पाद व्यापार कानून में परिभाषित किए गए हैं।

जापानी कंपनी कानून के अनुसार, निम्नलिखित कंपनियों को आंतरिक नियंत्रण प्रणाली बनाने की आवश्यकता होती है:

• बड़ी कंपनियां
• नामांकन समिति स्थापन कंपनियां
• ऑडिट समिति स्थापन कंपनियां

वित्तीय उत्पाद व्यापार कानून के अनुसार, सूचीबद्ध कंपनियों को आंतरिक नियंत्रण प्रणाली बनाने का दायित्व होता है, और उन्हें प्रत्येक व्यापार वर्ष के लिए आंतरिक नियंत्रण रिपोर्ट जमा करनी होती है। इस आंतरिक नियंत्रण रिपोर्ट को सार्वजनिक लेखाकार या ऑडिट कंपनी के ऑडिट प्रमाण पत्र की आवश्यकता होती है।

यदि आंतरिक नियंत्रण प्रणाली की कमी के कारण सूचना का रिसाव होता है और क्षति होती है, तो कंपनी और निदेशकों को क्षतिपूर्ति की जिम्मेदारी हो सकती है। सूचना की सुरक्षा के लिए आंतरिक नियंत्रण प्रणाली के बारे में, निम्नलिखित लेख में विस्तार से विवेचना की गई है, कृपया संदर्भ लें।

संबंधित लेख: सूचना रिसाव की रोकथाम के उपायों का विवेचन व्यवस्थापन के लिए आवश्यक कंपनी नियमावली की सामग्री[ja]

व्यापार सौंपने के समय आंतरिक नियंत्रण प्रणाली पर उत्पन्न होने वाले जोखिम

यदि आपने अपनी कंपनी में सूचना सुरक्षा संबंधी नियम बनाए भी हों, लेकिन यदि सौंपने वाली संस्था ने ऐसे नियम नहीं बनाए हों, या उनकी सामग्री अपर्याप्त हो, तो सौंपने वाली संस्था में सुरक्षा घटना हो सकती है।

यदि सुरक्षा घटना हो जाती है, तो यद्यपि यह दुर्घटना सौंपने वाली संस्था में हुई हो, लेकिन उसकी प्रबंधन जिम्मेदारी वाली सौंपने वाली कंपनी की छवि कम हो सकती है।

इसलिए, व्यापार सौंपने के समय, सौंपने वाली संस्था में भी सुरक्षा घटना आदि न होने के लिए एक प्रणाली बनाना महत्वपूर्ण है।

आंतरिक नियंत्रण प्रणाली की आवश्यकता, जिसमें ठेकेदार प्रबंधन शामिल है

न्यायाधीशों के फैसलों को देखते हुए, सूचना सुरक्षा प्रणाली की व्यवस्था, आंतरिक नियंत्रण प्रणाली को निर्माण करने के लिए महत्वपूर्ण तत्वों में से एक है।

यदि किसी कंपनी या संगठन की सूचना सुरक्षा प्रणाली में कोई कमी होती है जिसके कारण तीसरे व्यक्ति को क्षति होती है, तो आंतरिक नियंत्रण प्रणाली के निर्माण का दायित्व निभाने में असमर्थता के रूप में, निदेशकों को भी अच्छी प्रबंधन की जिम्मेदारी का उल्लंघन करने का आरोप लग सकता है। इसके अलावा, यदि ठेकेदार की सूचना सुरक्षा प्रणाली में कोई कमी होती है और तीसरे व्यक्ति को क्षति होती है, तो ठेका देने वाली कंपनी या निदेशकों पर भी जिम्मेदारी का आरोप लग सकता है।

वैसे, यदि ठेकेदार के प्रबंधन में कोई कमी होती है और सुरक्षा घटना होती है, तो ठेका देने वाले निदेशकों पर आंतरिक नियंत्रण प्रणाली के निर्माण की जिम्मेदारी का उल्लंघन करने के आधार पर अच्छी प्रबंधन की जिम्मेदारी का उल्लंघन करने के लिए क्षतिपूर्ति की मांग की मान्यता दी गई है, ऐसा कोई मामला सामने नहीं आया है, लेकिन भविष्य में मुकदमा दायर करने की संभावना हो सकती है।

उदाहरणों के माध्यम से आंतरिक नियंत्रण प्रणाली के महत्व को समझना

यहां हम देखेंगे कि कार्य आवंटन करते समय, पिछले उदाहरणों को ध्यान में रखते हुए हमें किस प्रकार के उपाय करने चाहिए।

जापानी वर्षीय पेंशन एजेंसी में सूचना लीक की घटना

2015 में (हीजी 27 वर्ष), जापानी वर्षीय पेंशन एजेंसी में अनधिकृत पहुंच के माध्यम से सूचना की लीक हुई, जिसमें मूल पेंशन नंबर, नाम आदि की व्यक्तिगत जानकारी की लीक होने की पुष्टि हुई।

इस मामले के संबंध में, जापानी वर्षीय पेंशन एजेंसी में अनधिकृत पहुंच के माध्यम से सूचना लीक की घटना की जांच समिति (जिसे आगे ‘जांच समिति’ कहा जाएगा) का गठन हुआ, और 21 अगस्त 2015 (हीजी 27 वर्ष) की जांच रिपोर्ट तैयार की गई, जिसमें इसकी विवरणी दी गई। इस रिपोर्ट के अनुसार, जापानी वर्षीय पेंशन एजेंसी का LAN सिस्टम हमले का शिकार हुआ, और शेयर्ड फ़ोल्डर में बड़ी मात्रा में व्यक्तिगत जानकारी लीक हुई।

सिस्टम का निर्माण करते समय, LAN सिस्टम पर व्यक्तिगत जानकारी का उपयोग नहीं किया जाना था, लेकिन कुछ निश्चित स्थितियों के तहत LAN सिस्टम के शेयर्ड फ़ोल्डर में व्यक्तिगत जानकारी डाली जा सकती थी। इसके अलावा, जापानी वर्षीय पेंशन एजेंसी का LAN सिस्टम लक्षित हमलों के खिलाफ संघर्ष करने के लिए तैयार नहीं था, इसलिए हमले के पता चलने के बाद भी स्थिति को समझने में समय लग गया।

जांच समिति ने पुनरावृत्ति रोकने के उपाय के रूप में

• मानवीय संरचना की व्यवस्था (सुरक्षा उपाय मुख्यालय की स्थापना आदि)
• कल्याण श्रम मंत्रालय की निगरानी संरचना की व्यवस्था (कल्याण श्रम मंत्रालय की सूचना सुरक्षा संरचना की व्यवस्था आदि)
• तकनीकी व्यवस्था (कार्य की वास्तविकता और जोखिम के आधार पर सिस्टम की व्यवस्था आदि)
• जापानी वर्षीय पेंशन एजेंसी की जागरूकता का परिवर्तन

का सुझाव दिया है।

इसके अलावा, ठेकेदार के साथ सूचना सुरक्षा संरक्षण के बारे में सामान्य सहमति हुई थी, लेकिन वास्तव में घटना होने पर कोई स्पष्ट सहमति नहीं थी, इसलिए प्रतिक्रिया धीमी हुई और क्षति बढ़ गई। (स्रोत: कल्याण श्रम मंत्रालय ‘हीजी 27 वर्ष 21 अगस्त की जांच रिपोर्ट[ja]‘)

ऐसी स्थिति से बचने के लिए,

• सेवा स्तर समझौते को विस्तृत रूप से समझौता करना
• आपातकालीन प्रतिक्रिया को ठेकेदार द्वारा करने के लिए स्पष्ट सहमति करना

आवश्यक हो सकता है।

सेवा स्तर समझौता (Service Level Agreement, SLA) एक प्रकार का अनुबंध होता है जिसमें सेवा प्रदान करने वाले और सेवा प्राप्त करने वाले के बीच सेवा की गुणवत्ता, लागू होने वाली सीमाएं, प्राप्ति विधि, जिम्मेदारी और लागत के बारे में सहमति होती है। इसके अलावा, घटना होने पर प्रतिक्रिया के बारे में पहले से ही सहमति करने से तत्परता से उचित कार्रवाई की संभावना बढ़ जाती है।

बेनेसे कॉर्पोरेशन में व्यक्तिगत जानकारी का लीक होने का मामला

2014 में, बेनेसे कॉर्पोरेशन में व्यक्तिगत जानकारी का लीक होने का मामला सामने आया। इसमें, एक ठेकेदार के कर्मचारी ने ग्राहकों के डेटा की कॉपी बनाई और उसे नामावली व्यापारी को बेच दिया, जिसके परिणामस्वरूप लगभग 29.89 मिलियन ग्राहकों की जानकारी लीक हो गई।

इस मामले के कारण के रूप में, डेटा के अधिगमन अधिकार को दूसरे और तीसरे ठेकेदारों तक पहुंचाने के बावजूद, जानकारी के लीक होने को रोकने के लिए पर्याप्त निगरानी प्रणाली नहीं थी।

उपाय के रूप में,

• ठेकेदार के कार्य क्षेत्र और जानकारी तक पहुंच को स्पष्ट रूप से परिभाषित करना
• ठेकेदार पर नियमित रूप से निरीक्षण करना
• ठेकेदार पर निगरानी प्रणाली के बारे में रिपोर्ट करने की जिम्मेदारी लगाना
• ठेकेदार के यहां महत्वपूर्ण जानकारी को संभालने वाले व्यक्ति को निर्धारित करना और उसकी समीक्षा करना

इस प्रकार के कुछ उपाय सोचे जा सकते हैं।

इसके बाद, एक ग्राहक ने इस घटना में अपनी और अपने बच्चे की व्यक्तिगत जानकारी के लीक होने के लिए बेनेसे कॉर्पोरेशन से 1 लाख येन की हानि का दावा करने के लिए मुकदमा दायर किया।

पहले और दूसरे चरण में ग्राहक की हार हुई, लेकिन 23 अक्टूबर 2017 (हेसी 29) के सर्वोच्च न्यायालय के फैसले के अनुसार,

“अपील करने वाले की मानसिक हानि की उपस्थिति और उसकी परिमाण आदि को पूरी तरह से जांचने के बिना, असहजता से अधिक हानि की उत्पत्ति के बारे में दावा और साक्ष्य नहीं होने की स्थिति से सीधे अपील करने वाले की मांग को खारिज करना चाहिए।”

हेसी 28 वर्ष (आवेदन) संख्या 1892, हानि का दावा मामला, हेसी 29 वर्ष 23 अक्टूबर, द्वितीय छोटे कानूनी न्यायालय का फैसला[ja]

और दूसरे चरण के फैसले को खारिज करके, मामले की समीक्षा को ओसाका उच्च न्यायालय में वापस भेज दिया।

20 नवम्बर 2019 को, ओसाका उच्च न्यायालय ने प्राइवेसी का उल्लंघन मानते हुए, बेनेसे कॉर्पोरेशन को 1,000 येन का भुगतान करने का आदेश दिया।

पहले और दूसरे चरण में, प्राइवेसी का उल्लंघन ही नहीं, बल्कि वास्तव में हानि हुई थी या नहीं, इस बात को भी महत्व दिया गया था, लेकिन सर्वोच्च न्यायालय में, हानि की उपस्थिति के बावजूद प्राइवेसी का उल्लंघन हुआ था, इस बात को समीक्षा करना चाहिए था। अन्य जानकारी लीक मामलों में भी, जानकारी के लीक होने पर आधारित हानि के दावे को मान्यता दी जाती है, और इस सर्वोच्च न्यायालय के फैसले को इसी प्रवाह के अनुसार माना जा सकता है।

सारांश: आंतरिक नियंत्रण प्रणाली के बारे में वकील से परामर्श करें

कंपनी या संगठन के स्वस्थ प्रबंधन के लिए, आंतरिक नियंत्रण प्रणाली को उचित रूप से निर्माण और संचालन करने की आवश्यकता होती है। यदि ठेकेदार जानकारी का रिसाव आदि सुरक्षा घटना को उत्पन्न करता है, तो ठेकेदार की जिम्मेदारी सवाल में आ सकती है, और कंपनी की छवि का पतन भी टाला नहीं जा सकता। ऐसी स्थिति से बचने के लिए, ठेकेदार के पास भी आंतरिक नियंत्रण प्रणाली को पूरी तरह से कार्यान्वित करने के लिए पहले से ही एक योजना तैयार करनी होगी।

सूचना सुरक्षा प्रणाली के सहित आंतरिक नियंत्रण प्रणाली के निर्माण और संचालन के बारे में, कृपया वकील से परामर्श करें।

हमारे कार्यालय द्वारा उपाय की जानकारी

मोनोलिथ कानूनी कार्यालय एक ऐसा कानूनी कार्यालय है, जिसमें IT, विशेषकर इंटरनेट और कानून के दोनों पहलुओं में उच्च विशेषज्ञता है। आंतरिक नियंत्रण प्रणाली के निर्माण और संचालन से संबंधित कानूनी जांच की आवश्यकता बढ़ती जा रही है। नीचे दिए गए लेख में हमने विस्तार से विवरण दिया है।

मोनोलिथ कानूनी कार्यालय के व्यवसाय क्षेत्र: IT और स्टार्टअप की कंपनी कानूनी मामले[ja]