Hogyan előzhető meg a megbízott helyi biztonsági incidensek? A megrendelő belső ellenőrzési rendszerének kialakítását és működtetését magyarázzuk el

A vállalatok számára a Japán Társasági Törvény (Japanese Company Law) és a Pénzügyi Termékek Kereskedelmi Törvény (Japanese Financial Instruments and Exchange Act) előírja a belső ellenőrzési rendszer kiépítését. A “belső ellenőrzési rendszer” talán bonyolultnak tűnhet, de egyszerűen fogalmazva, ez a vállalat működésének megfelelő irányítására és a kockázatok megelőzésére szolgáló struktúra.

De hogyan működik a belső ellenőrzési rendszer a külső üzleti partnerekkel való kapcsolatban? Különösen problémás lehet, mivel a vállalatok gyakran bízzák meg külső partnereket különböző feladatokkal, mint például a logisztika és a karbantartás.

Ebben a cikkben bemutatjuk, hogyan működik a belső ellenőrzési rendszer a megbízott partnereknél, és milyen intézkedéseket lehet tenni a biztonsági incidensek megelőzése érdekében.

Mi az a belső ellenőrzési rendszer?

A belső ellenőrzési rendszer olyan szervezeti eszközöket és módszereket jelent, amelyekre a vállalatoknak és szervezeteknek megfelelő üzletmenetük érdekében szükségük van, és amelyeket a Japán Társasági Törvény (Japanese Company Law) és a Pénzügyi Eszközök és Tőzsdei Törvény (Japanese Financial Instruments and Exchange Act) határoz meg.

A Japán Társasági Törvény szerint a következő vállalatoknak kötelező belső ellenőrzési rendszert létrehozniuk:

• Nagyvállalatok
• Névadó Bizottsággal rendelkező vállalatok
• Audit Bizottsággal rendelkező vállalatok

Ezenkívül a Pénzügyi Eszközök és Tőzsdei Törvény előírja, hogy a tőzsdén jegyzett vállalatoknak belső ellenőrzési rendszert kell létrehozniuk, és minden üzleti évben belső ellenőrzési jelentést kell benyújtaniuk. Ezt a belső ellenőrzési jelentést hitelesített könyvvizsgálónak vagy audit társaságnak kell ellenőriznie.

Ha a belső ellenőrzési rendszer hiányosságai miatt információszivárgás vagy egyéb károk keletkeznek, a vállalatnak és a vezető tisztségviselőknek kártérítési felelősséget kell vállalniuk. A belső ellenőrzési rendszer információvédelmi aspektusairól részletesen olvashat az alábbi cikkben.

Kapcsolódó cikk: Információszivárgás megelőzési stratégiák – A vállalati szabályzatok tartalmának kialakítása[ja]

Rizikók a belső ellenőrzési rendszerben, amelyek a munka megbízásakor merülhetnek fel

Akkor is előfordulhat, hogy a megbízott fél nem rendelkezik ilyen szabályzattal, vagy annak tartalma nem megfelelő, ha a saját vállalatunkban meghatároztuk az információbiztonsági szabályokat. Ebben az esetben fennáll a veszélye, hogy a megbízott fél biztonsági incidenssel szembesül.

Ha biztonsági incidens történik, még akkor is, ha az a megbízott fél hibájából adódik, a megbízó vállalat, amelynek a menedzsment felelőssége van, képét ronthatja.

Ezért fontos, hogy a munka megbízásakor a megbízott fél is olyan rendszert hozzon létre, amely megakadályozza a biztonsági incidensek és egyéb problémák előfordulását.

Szükség van belső ellenőrzési rendszerre, beleértve a megbízottak kezelését

A jogeseteket figyelembe véve, az információbiztonsági rendszer kialakítása az egyik legfontosabb elem a belső ellenőrzési rendszer felépítésében.

Ha egy cég vagy szervezet hibás információbiztonsági rendszere miatt kárt okoz egy harmadik félnek, a belső ellenőrzési rendszer felépítésének elmulasztása miatt a vezető tisztségviselőket is felelősségre vonhatják a gondos kezelési kötelezettség megsértése miatt. Ezenkívül, ha a megbízott információbiztonsági rendszere hibás, és ez kárt okoz egy harmadik félnek, a megbízó cég vagy a vezető tisztségviselők is felelősségre vonhatók lehetnek.

Megjegyzendő, hogy bár nincsenek olyan esetek, amelyekben a megbízottak kezelésének hiányosságai miatt bekövetkezett biztonsági incidens alapján a megbízó vezető tisztségviselőit a belső ellenőrzési rendszer felépítésének elmulasztása miatt a gondos kezelési kötelezettség megsértése alapján kártérítési igényekkel illették volna, a jövőben elképzelhető, hogy peres eljárások indulnak ebben a kérdésben.

Tanuljunk belső ellenőrzési rendszerek fontosságáról gyakorlati példákon keresztül

Itt megvizsgáljuk, hogy milyen intézkedéseket kell tennünk a munka külső megbízása során, figyelembe véve a korábbi példákat.

Információszivárgási eset a Japán Nyugdíjintézetnél

2015-ben (Heisei 27) a Japán Nyugdíjintézetnél jogosulatlan hozzáférés révén információszivárgás történt, melynek során alapnyugdíj-számok és nevek stb. személyes adatok kerültek illetéktelen kezekbe.

Ezzel kapcsolatban a Japán Nyugdíjintézetnél jogosulatlan hozzáférés révén bekövetkezett információszivárgási eset vizsgálati bizottsága (a továbbiakban: vizsgálati bizottság) alakult, és 2015. augusztus 21-én készült el a vizsgálati jelentés, amely összefoglalja az eseményeket. A jelentés szerint a Japán Nyugdíjintézet LAN rendszerét támadás érte, és nagy mennyiségű személyes adat szivárgott ki a közös mappából.

A rendszer kialakításakor a LAN rendszeren nem volt szabad személyes adatokat kezelni, de úgy tűnik, bizonyos feltételek mellett személyes adatok kerülhettek a LAN rendszer közös mappájába. Ráadásul a Japán Nyugdíjintézet LAN rendszere nem volt felkészülve célzott támadások kezelésére, így a támadás észlelése után is időbe telt a helyzet felmérése.

A vizsgálati bizottság a következő megelőző intézkedéseket javasolta:

• Emberi erőforrások rendszerének kialakítása (biztonsági intézkedések központjának létrehozása stb.)
• A Jóléti és Munkaügyi Minisztérium felügyeleti rendszerének kialakítása (a minisztérium információbiztonsági rendszerének kialakítása stb.)
• Technikai fejlesztések (a rendszer kialakítása a munka valós állapotára és kockázataira alapozva stb.)
• A Japán Nyugdíjintézet tudatosságának átalakítása

Ezeket javasolta.

Továbbá, a megbízott és a megbízó között csak általános megállapodás született az információbiztonság védelméről, és nem volt egyértelmű megállapodás arról, hogy milyen konkrét lépéseket kell tenni, ha valóban incidens történik, ezért a reakció lassú volt, és a kár nagyobb lett. (Forrás: Jóléti és Munkaügyi Minisztérium “2015. augusztus 21-i vizsgálati jelentés[ja]“)

Az ilyen helyzetek elkerülése érdekében szükség lehet:

• Szolgáltatási szintű megállapodások (Service Level Agreement, SLA) konkrét tartalommal történő megkötésére
• Vészhelyzeti intézkedések megbízott általi végrehajtásának egyértelmű megállapodására

Ezek lehetnek szükségesek.

A Szolgáltatási Szintű Megállapodás (Service Level Agreement, SLA) olyan szerződés, amelyet a szolgáltatást nyújtó és a szolgáltatást igénybe vevő között kötnek, és amely meghatározza a szolgáltatás minőségét, alkalmazási körét, átvételi módját, felelősséget és költségeket. Továbbá, ha előre megállapodnak az incidensek kezeléséről, akkor gyorsan és megfelelően reagálhatnak.

Személyes adatok szivárgása a Benesse Corporationnál

2014-ben személyes adatok szivárgása történt a Benesse Corporationnál. Egy megbízott munkavállaló másolta le és adta el a vásárlói adatokat egy névjegyzék-kereskedőnek, ami következtében körülbelül 29,89 millió vásárlói információ szivárgott ki.

Ennek az esetnek az oka, hogy a megbízott és a további megbízottak számára is hozzáférést biztosítottak az adatokhoz, de nem volt megfelelő felügyeleti rendszer, amely megakadályozta volna az információk szivárgását.

A lehetséges megoldások közé tartozik:

• A megbízottak munkaköri hatáskörének és az információhoz való hozzáférésének egyértelmű meghatározása a szerződésben
• Rendszeres ellenőrzések végrehajtása a megbízottaknál
• Felügyeleti kötelezettségek bevezetése a megbízottak számára
• Azoknak a személyeknek a kiválasztása, akik fontos információkat kezelnek a megbízottaknál, és az ellenőrzésük

Ezek a lehetőségek jöhetnek szóba.

Egy vásárló később peres eljárást indított a Benesse Corporation ellen, mert saját és gyermeke személyes adatai kiszivárogtak az eset során, és 100 000 jen kártérítést követelt.

Az első- és másodfokú bíróságokon a vásárló vesztett, de a Legfelsőbb Bíróság 2017. október 23-i (Heisei 29) ítélete szerint,

“Az a tény, hogy a felperes személyes jogainak megsértése miatt bekövetkezett lelki károsodásának meglétét és mértékét nem vizsgálták megfelelően, és hogy a kellemetlenséget meghaladó károsodás bekövetkezését nem állították és nem bizonyították, nem indokolja a felperes keresetének azonnali elutasítását”

Heisei 28 év (fogadott) 1892. számú kártérítési per, Heisei 29. október 23., Második Kisbíróság ítélete[ja]

és a másodfokú ítéletet megsemmisítette, és visszaküldte az ügyet az Ósaka Felsőbíróságra.

2019. november 20-án az Ósaka Felsőbíróság elismerte a személyes jogok megsértését, és 1 000 jen megfizetésére kötelezte a Benesse Corporationt.

Az első- és másodfokú bíróságokon nem csak a személyes jogok megsértését, hanem azt is figyelembe vették, hogy valóban bekövetkezett-e kár. A Legfelsőbb Bíróság azonban úgy ítélte meg, hogy a kár meglététől függetlenül vizsgálni kell a személyes jogok megsértését. Más információszivárgási esetekben is gyakran elismerik az információszivárgáson alapuló kártérítési igényeket, és úgy gondoljuk, hogy a Legfelsőbb Bíróság ítélete ezt a trendet követi.

Összefoglalás: Forduljon ügyvédhez a belső ellenőrzési rendszerekkel kapcsolatban

A vállalatok és szervezetek egészséges működéséhez elengedhetetlen a belső ellenőrzési rendszer megfelelő kialakítása és működtetése. Ha a megbízott fél biztonsági incidenseket, például információszivárgást okoz, a megbízó felelőssége is felmerülhet, és a vállalati kép romlása sem kerülhető el. Ezen helyzetek elkerülése érdekében előre meg kell teremteni azt a rendszert, amely biztosítja, hogy a megbízott fél belső ellenőrzési rendszere is megfelelően működik.

Kérjük, forduljon ügyvédhez a belső ellenőrzési rendszer, beleértve az információbiztonsági rendszer kialakításával és működtetésével kapcsolatban.

Intézkedéseink bemutatása irodánk részéről

A Monolith Jogügyi Iroda egy olyan jogi szakértői iroda, amely rendelkezik magas szintű szakértelemmel az IT, különösen az internet és a jog területén. A belső ellenőrzési rendszerek kialakításával és működtetésével kapcsolatos jogi ellenőrzések szükségessége egyre növekszik. A részleteket az alábbi cikkben ismertetjük.

A Monolith Jogügyi Iroda által kezelt területek: IT és startup vállalati jogi ügyek[ja]