MONOLITH LAW OFFICE+81-3-6262-3248Hari kerja 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Risiko Kehilangan Data dan Tanggung Jawab Hukum Operator Sistem

IT

Risiko Kehilangan Data dan Tanggung Jawab Hukum Operator Sistem

Ada kemungkinan terjadi masalah di mana informasi penting perusahaan yang disimpan dalam database hilang karena keadaan yang tidak terduga di departemen sistem. Dalam kasus seperti ini, apakah secara hukum mungkin untuk menuntut tanggung jawab dari pihak ketiga yang ditugaskan untuk mengoperasikan sistem?

Artikel ini akan menjelaskan tentang siapa yang bertanggung jawab secara hukum atas kehilangan informasi di perusahaan.

Apa itu “Operasional” dalam Sistem IT

“Operasional” dalam sistem IT, jika dijelaskan dengan sangat sederhana, adalah pekerjaan yang terkait dengan sistem IT yang melibatkan “menggunakan sistem yang ada seperti biasa”. Sistem yang baru dibuat (dikembangkan) oleh insinyur IT atau programmer bukanlah sesuatu yang selesai setelah dibuat sekali. Misalnya, jika Anda ingin melakukan operasi yang tidak dapat dijalankan dari sisi layar, Anda mungkin perlu menghubungkan komputer ke database dan memasukkan bahasa komputer (seperti SQL) secara langsung (misalnya, ekstraksi atau modifikasi data yang tidak dapat dijalankan dari sisi layar).

Pekerjaan operasional seperti ini seringkali lebih mudah distandarisasi, seperti dengan membuat manual prosedur, dibandingkan dengan pekerjaan seperti implementasi program baru, dan seringkali lebih mudah untuk di-outsource ke vendor eksternal.

Namun, meskipun pekerjaan tersebut mudah distandarisasi, karena melibatkan operasi langsung pada database yang dikelola oleh perusahaan, perlu diingat bahwa ini seringkali berdampingan dengan insiden besar. Risiko seperti kebocoran atau kehilangan informasi yang dimiliki oleh perusahaan dapat meningkat secara signifikan jika outsourcing dilakukan tanpa mempertimbangkan serius tanggung jawab yang dimiliki oleh pekerjaan tersebut.

Risiko Kehilangan Informasi Lebih Dekat Dari yang Anda Pikirkan

Ada beberapa jenis basis data yang digunakan oleh perusahaan, tetapi pada dasarnya, itu adalah jenis perangkat lunak. Dan, pengolahan data seperti ekstraksi, modifikasi, penambahan, dan penghapusan yang dikelola di sana pada dasarnya menggunakan bahasa komputer yang disebut SQL.

Pentingnya Hukum

Ada berbagai jenis pekerjaan untuk teknisi yang terlibat dalam sistem IT, seperti pengembangan, operasi, dan pemeliharaan, tetapi yang umum dalam cara kerja mereka adalah penanganan benda abstrak seperti “data” dan “bahasa komputer”. Oleh karena itu, bahkan jika itu hanya kesalahan operasi tombol atau kesalahan input kecil dalam penampilan pekerjaan yang mereka lakukan, dampak kesalahan tersebut dapat menyebar lebih luas daripada yang dapat diperkirakan sebelumnya. Premis ini harus disadari oleh semua orang yang bekerja dengan sistem, baik mereka adalah ahli teknologi IT atau tidak. Pekerjaan yang melibatkan sistem cenderung menyebar dengan cepat melampaui departemen dan batas internal perusahaan jika ada masalah. Pentingnya hukum dalam sistem dapat dijelaskan secara konsisten dari perspektif ini, baik dari sisi pemberi pesanan maupun penerima pesanan.

Risiko Kehilangan Data Perusahaan

Mari kita ambil contoh yang sedikit lebih sederhana. Query (perintah) untuk menghapus semua data yang dimiliki oleh satu tabel dalam SQL hanya membutuhkan satu baris “TRUNCATE”. Ketika memikirkan risiko kehilangan data perusahaan, mungkin tidak begitu penting untuk memahami sintaks SQL atau cara mengoperasikan perangkat lunak basis data. Namun, Anda harus menyadari bahwa, jika kita berbicara tentang cara menghapus semua data yang disimpan oleh perusahaan, itu juga bisa sepele. Pengakuan realitas ini mungkin merupakan titik awal ketika memikirkan risiko kehilangan data perusahaan.

Memang, operasi cenderung standar, dan seringkali tidak ada masalah jika dilakukan sesuai prosedur. Namun, pada saat yang sama, jika kita mempertimbangkan situasi di mana prosedur tidak diikuti dan situasi tidak biasa terjadi, pentingnya hukum akan menjadi jelas.

Siapa yang Bertanggung Jawab Atas Kehilangan Informasi Menurut Hukum?

Apa tanggung jawab hukum ketika terjadi kehilangan data yang tidak terduga?

Sifat Hukum Pekerjaan Operator Investasi

Lalu, dalam kasus kehilangan data akibat insiden yang tidak terduga dan tidak ada cara untuk memulihkannya, siapa yang bertanggung jawab secara hukum? Berikut ini, dari sudut pandang hukum, mari kita analisis insiden seperti ini.

Mengejar Kewajiban Penyimpanan Berdasarkan Kontrak Penitipan adalah Sulit

Salah satu struktur teori yang dapat dipertimbangkan ketika menanyakan tanggung jawab operator yang menjalankan bisnis pengoperasian data adalah mengejar kewajiban kehati-hatian dalam penyimpanan berdasarkan kontrak penitipan berbayar. Secara sederhana, ini sama seperti mengejar tanggung jawab ganti rugi pada prinsipnya jika operator yang menerima penitipan barang di loker berbayar, misalnya, kehilangan barang tersebut, yaitu apakah kita dapat mengejar tanggung jawab atas kehilangan “data”. Namun, sama seperti diskusi tentang kewajiban penyimpanan “barang”, menganggap bahwa “kewajiban penyimpanan data” muncul secara alami tidak realistis dalam hukum yang berlaku saat ini.

Tergantung pada Isi Kontrak Individu

Pada akhirnya, masalah “siapa yang harus bertanggung jawab atas penyimpanan data” adalah sesuatu yang sulit untuk dijawab secara seragam berdasarkan ketentuan hukum sipil Jepang. Oleh karena itu, jawabannya haruslah “tergantung pada apa yang ditentukan dalam isi kontrak individu”.

Lebih lanjut, titik “apa isi kontraknya” tidak hanya ditentukan oleh kontrak itu sendiri, tetapi juga berdasarkan catatan rapat dan dokumen lainnya. Kami telah menjelaskan secara detail tentang pentingnya catatan rapat dalam artikel di bawah ini.

https://monolith.law/corporate/the-minutes-in-system-development[ja]

Kesulitan dalam Menuntut Tanggung Jawab atas Tindakan Melawan Hukum dari Pihak Ketiga yang Bukan Pihak Kontrak

Perlu dicatat bahwa dalam kasus hukum, telah jelas bahwa menuntut tanggung jawab atas tindakan melawan hukum dari pihak ketiga yang tidak memiliki hubungan kontrak adalah hal yang mustahil. Dalam kasus hukum, apakah pengguna dapat mengajukan klaim ganti rugi berdasarkan tindakan melawan hukum dalam kasus kehilangan data pada layanan server sewa menjadi isu.

Contoh klasik dari tindakan melawan hukum adalah kecelakaan lalu lintas. Misalnya, jika seseorang terluka karena kelalaian pengemudi dalam kecelakaan mobil, pengemudi tersebut bertanggung jawab secara hukum (tentu saja dalam hukum pidana) dan juga dalam hukum perdata. Meskipun tidak ada kontrak antara orang asing yang menyatakan “Saya tidak akan menabrak Anda dengan mobil saya”, masih mungkin bagi individu untuk memiliki tanggung jawab ganti rugi. Berdasarkan kerangka tanggung jawab tindakan melawan hukum ini, apakah tanggung jawab atas kehilangan data dapat dituntut, meskipun tidak ada hubungan kontrak langsung, menjadi isu yang dipertentangkan.

Namun, pengadilan menunjukkan bahwa sulit untuk secara alami menyimpulkan adanya kewajiban seperti itu dengan menunjukkan karakteristik informasi digital.

“Server tidak sempurna dan dapat mengalami gangguan, yang dapat mengakibatkan hilangnya program dan data yang disimpan”, namun program dan data tersebut adalah informasi digital yang dapat dengan mudah diduplikasi, dan “jika pengguna menyimpan dan mencatat data tersebut, mereka dapat menjalankan kembali program dan data tersebut meskipun telah hilang”, dan hal ini secara luas diketahui (berdasarkan seluruh argumen), sehingga “penggugat dapat dengan mudah mengambil tindakan pencegahan terhadap hilangnya program dan data tersebut”. Mengingat situasi keuntungan kedua belah pihak, penggugat dan tergugat, tidak ada alasan atau kebutuhan untuk membebani tergugat, yang menginstal dan mengelola server, dengan kewajiban untuk mencegah hilangnya catatan penggugat. (omisi) Penggugat berpendapat bahwa kontrak sewa server memiliki sifat kontrak penitipan terhadap program atau data pihak ketiga, dan berdasarkan hal ini, tergugat, sebagai penyedia layanan sewa server, memiliki kewajiban untuk menjaga semua orang yang menyimpan catatan di server, dan secara khusus, memiliki kewajiban untuk mencegah hilangnya catatan di server, dan berdasarkan asumsi ini, tergugat telah melanggar kewajiban pencegahan hilangnya catatan dengan menghilangkan catatan penggugat yang disimpan di server.


Namun, tergugat hanya memiliki kontrak penggunaan layanan hosting server bersama dengan Pengguna A, dan tidak ada hubungan kontrak dengan penggugat, dan tidak dapat dikatakan bahwa ada sifat kontrak penitipan terhadap program atau data yang disimpan di server, sehingga sulit untuk menemukan dasar bahwa tergugat memiliki kewajiban perawatan yang baik berdasarkan hukum tindakan melawan hukum terhadap catatan yang disimpan di server terhadap penggugat yang tidak memiliki hubungan kontrak. Oleh karena itu, hanya karena tergugat adalah penyedia layanan sewa server, tidak berarti bahwa mereka secara alami memiliki kewajiban perawatan yang baik atau kewajiban pencegahan hilangnya catatan terhadap pihak ketiga yang tidak memiliki hubungan kontrak terhadap catatan yang disimpan di server.

Putusan Pengadilan Distrik Tokyo, 20 Mei 2009 (Tahun Heisei 21)

Putusan ini menunjukkan bahwa tidak masuk akal untuk menganggap adanya “kewajiban untuk tidak menghapus data” terhadap pihak ketiga (penggugat) yang tidak memiliki hubungan kontrak secara langsung. Putusan ini telah menarik perhatian sebagai kasus yang dapat menjadi acuan untuk kasus serupa di masa depan.

Sebagai kesimpulan, menuntut pertanggungjawaban cenderung menjadi ‘sulit’

Lebih lanjut, jika kita berbicara tentang kontrak yang sering digunakan dalam praktik, kasus di mana kontrak yang menjadikan penyimpanan dan pencadangan data sebagai tanggung jawab operator bisnis tidak begitu banyak. Sebaliknya, kontrak yang menetapkan bahwa tanggung jawab tersebut ada pada pengguna (yaitu perusahaan pihak pelanggan) jauh lebih banyak.

Oleh karena itu, kecuali dalam kasus di mana ada kesepakatan khusus, sangat sulit secara hukum untuk berpikir bahwa operator bisnis sistem memiliki kewajiban untuk mengambil tindakan untuk mencegah kehilangan data.

Hal yang Harus Dilakukan untuk Mengantisipasi Risiko Kehilangan Informasi

Selalu lakukan backup untuk mencegah kehilangan data.

Pada akhirnya, terkait risiko kehilangan informasi yang dimiliki oleh perusahaan, ini adalah masalah yang berkaitan dengan informasi yang disimpan oleh perusahaan itu sendiri. Oleh karena itu, bagaimana mempertimbangkan risiko kehilangan tersebut dan sistem penyimpanan apa yang harus dibangun, adalah hal yang harus ditentukan oleh perusahaan itu sendiri.

Lebih lanjut, meskipun tanggung jawab pengusaha diakui, mungkin juga terjadi hal seperti kompensasi kerugian tidak sepenuhnya diakui karena adanya penyeimbangan kelalaian. Dalam beberapa kasus hukum sebelumnya, ada pengadilan yang mengakui penyeimbangan kelalaian ketika terdakwa yang menyimpan data penggugat di server menghilangkan data tersebut dan penggugat tidak membuat cadangan data, yang dianggap sebagai “kelalaian”.

Penggugat, meskipun dapat dengan mudah mengambil tindakan seperti backup untuk konten file ini dan dengan demikian mencegah kerugian … dan dapat meminimalkan kerugian, pada saat kejadian ini, diakui bahwa penggugat tidak menyimpan konten data file ini sama sekali.

Untuk menentukan jumlah tanggung jawab ganti rugi terdakwa dalam kasus ini, penerapan ketentuan penyeimbangan kelalaian dengan mempertimbangkan hal ini sejalan dengan prinsip keadilan dalam hukum ganti rugi.

Sebaliknya, penggugat berpendapat bahwa tidak mungkin bagi penggugat untuk meramalkan bahwa file ini akan dihilangkan dari server oleh terdakwa yang merupakan penyedia layanan, dan oleh karena itu tidak dapat diakui bahwa penggugat memiliki kewajiban hukum untuk membuat cadangan, dan bahwa kelalaian dalam arti hukum tidak dapat diakui, dan penerapan penyeimbangan kelalaian harus ditolak.

Namun, dalam menerapkan penyeimbangan kelalaian, cukup jika penggugat diakui memiliki kemampuan untuk meramalkan terjadinya hilangnya file ini, dan tidak perlu meramalkan kemungkinan hilangnya file ini sebagai akibat dari pelanggaran kewajiban hati-hati terdakwa.

Dalam kasus ini, … jelas bahwa penggugat menyadari bahaya peretasan ke situs web, dan penggugat mengakui bahwa ada bahaya perubahan dan penghancuran informasi dalam komunikasi internet, dan bahaya tersebut dapat diprediksi, jadi penggugat dianggap telah meramalkan bahaya hilangnya file ini karena alasan khas komunikasi internet, dan kemampuan untuk meramalkan terjadinya hilangnya file ini cukup diakui, dan tidak ada hambatan untuk menerima penerapan penyeimbangan kelalaian.

Putusan Pengadilan Distrik Tokyo, 28 September 2001 (Tahun Heisei 13)

Dalam kasus ini, “Karena tidak membuat cadangan, penggugat seharusnya dapat meramalkan bahaya seperti peretasan dan lainnya yang dapat menghilangkan file, dan oleh karena itu ada penerapan penyeimbangan kelalaian,” dan jumlah ganti rugi dikurangi setengah.

Kesimpulan

Meskipun tidak terbatas pada risiko kehilangan data, seringkali ketika sistem dikirim ke pihak ketiga, pengguna cenderung hanya peduli tentang bagaimana sistem tersebut beroperasi dari sisi tampilan, dan sering kali tata kelola organisasi tidak mencakup area database yang disimpan di belakangnya.

Namun, contoh kasus hukum di masa lalu menunjukkan bahwa kita tidak boleh menganggap masalah ini sebagai masalah orang lain. Dengan kata lain, kita harus menyadari bahwa pengembangan sistem manajemen yang mempertimbangkan risiko kehilangan informasi, seperti membuat cadangan, adalah masalah yang harus dihadapi oleh pengguna (dalam organisasi).

Contoh kasus hukum di masa lalu menunjukkan bahwa tidak mempersiapkan diri terhadap risiko ini dapat menyebabkan situasi yang tidak dapat diperbaiki, dan kita harus memahami bahwa ini adalah peringatan tentang kebutuhan untuk pencegahan.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Kembali ke atas