Bagaimana Mencegah Insiden Keamanan di Tempat Penugasan? Penjelasan tentang Pembangunan dan Operasional Sistem Kontrol Internal Pemberi Tugas
Perusahaan diwajibkan untuk membangun sistem kontrol internal berdasarkan Hukum Perusahaan Jepang dan Hukum Transaksi Instrumen Keuangan Jepang. “Sistem kontrol internal” mungkin terdengar rumit, tetapi dengan kata lain, ini adalah sistem yang dirancang untuk mengoperasikan bisnis perusahaan dengan tepat dan mencegah risiko.
Lalu, bagaimana sistem kontrol internal berfungsi dalam hubungan dengan pihak eksternal? Khususnya, menjadi masalah karena banyak perusahaan yang seringkali mendelegasikan berbagai tugas seperti logistik dan pemeliharaan ke pihak eksternal.
Artikel ini akan menjelaskan tentang operasi sistem kontrol internal di pihak yang didelegasikan dan langkah-langkah untuk mencegah insiden keamanan.
Apa itu Sistem Pengendalian Internal
Sistem pengendalian internal adalah metode dan cara organisasional yang diperlukan oleh perusahaan atau organisasi untuk melakukan manajemen yang tepat, yang didefinisikan dalam Undang-Undang Perusahaan Jepang dan Undang-Undang Instrumen Keuangan dan Pertukaran Jepang.
Menurut Undang-Undang Perusahaan Jepang, perusahaan berikut ini diwajibkan untuk membangun sistem pengendalian internal:
- Perusahaan besar
- Perusahaan yang menetapkan komite nominasi, dll.
- Perusahaan yang menetapkan komite audit, dll.
Selain itu, menurut Undang-Undang Instrumen Keuangan dan Pertukaran Jepang, perusahaan yang terdaftar diwajibkan untuk membangun sistem pengendalian internal dan harus mengajukan laporan pengendalian internal setiap tahun fiskal. Laporan pengendalian internal ini harus diperiksa dan disertifikasi oleh akuntan publik atau firma audit.
Jika kerugian terjadi akibat kebocoran informasi atau sejenisnya karena kekurangan dalam sistem pengendalian internal, perusahaan dan direksi mungkin bertanggung jawab atas ganti rugi. Untuk sistem pengendalian internal terkait dengan perlindungan informasi, silakan merujuk ke artikel berikut untuk penjelasan lebih rinci.
Artikel terkait: Menguraikan langkah-langkah pencegahan kebocoran informasi. Apa isi peraturan internal yang harus disiapkan[ja]
Risiko pada Sistem Kontrol Internal yang Mungkin Terjadi Saat Penugasan Bisnis
Meskipun perusahaan Anda telah menetapkan aturan terkait keamanan informasi, jika perusahaan yang ditugaskan tidak menetapkan aturan tersebut atau jika isi aturannya tidak memadai, ada kemungkinan insiden keamanan dapat terjadi di perusahaan yang ditugaskan.
Jika terjadi insiden keamanan, meskipun itu adalah kecelakaan di perusahaan yang ditugaskan, ada risiko bahwa citra perusahaan pemberi tugas, yang memiliki tanggung jawab pengelolaan, akan menurun.
Oleh karena itu, saat menugaskan bisnis, penting untuk membangun sistem yang tidak menyebabkan insiden keamanan dan sejenisnya di perusahaan yang ditugaskan.
Diperlukan Sistem Kontrol Internal termasuk Manajemen Pihak yang Diberi Tugas
Melihat dari berbagai putusan pengadilan dan sejenisnya, pembentukan sistem keamanan informasi adalah salah satu elemen penting dalam membangun sistem kontrol internal.
Jika ada kekurangan dalam sistem keamanan informasi yang menyebabkan perusahaan atau organisasi merugikan pihak ketiga, mungkin ada kemungkinan bahwa direktur akan dituduh melanggar kewajiban pengawasan yang baik karena telah mengabaikan kewajiban untuk membangun sistem kontrol internal. Selain itu, jika ada kekurangan dalam sistem keamanan informasi pihak yang diberi tugas dan merugikan pihak ketiga, mungkin juga ada kemungkinan bahwa perusahaan atau direktur yang memberikan tugas tersebut akan bertanggung jawab.
Sejauh ini, belum ada kasus di mana klaim ganti rugi berdasarkan pelanggaran kewajiban pengawasan yang baik karena pelanggaran kewajiban untuk membangun sistem kontrol internal terhadap direktur dan sejenisnya dari pihak yang memberikan tugas diakui ketika insiden keamanan terjadi karena kekurangan manajemen di pihak yang diberi tugas. Namun, di masa depan, ada kemungkinan bahwa tuntutan hukum dapat diajukan.
Mempelajari Pentingnya Sistem Kontrol Internal Melalui Studi Kasus
Di sini, kita akan melihat langkah-langkah apa yang harus diambil saat melakukan outsourcing, berdasarkan studi kasus di masa lalu.
Kasus Kebocoran Informasi di Lembaga Pensiun Jepang
Pada tahun 2015, terjadi kebocoran informasi akibat akses ilegal di Lembaga Pensiun Jepang, dan dikonfirmasi adanya kebocoran informasi pribadi seperti nomor pensiun dasar dan nama.
Sehubungan dengan hal ini, Komite Verifikasi Kasus Kebocoran Informasi Akibat Akses Ilegal di Lembaga Pensiun Jepang (selanjutnya disebut “Komite Verifikasi”) telah dibentuk, dan laporan verifikasi tanggal 21 Agustus 2015 (2015) yang merangkum latar belakang dan lainnya telah dibuat. Menurut laporan ini, sistem LAN Lembaga Pensiun Jepang diserang, dan sejumlah besar informasi pribadi di folder bersama bocor.
Ketika sistem dibangun, seharusnya tidak ada informasi pribadi yang ditangani di sistem LAN, tetapi tampaknya informasi pribadi dapat dimasukkan ke dalam folder bersama di sistem LAN di bawah kondisi tertentu. Selain itu, karena sistem LAN Lembaga Pensiun Jepang tidak dioperasikan untuk dapat menangani serangan yang ditargetkan, membutuhkan waktu untuk memahami situasi setelah menyadari adanya serangan.
Komite Verifikasi menunjukkan langkah-langkah pencegahan berulangnya insiden seperti:
- Pembentukan struktur personil (pembentukan divisi pengamanan, dll.)
- Pembentukan struktur pengawasan Kementerian Kesehatan, Tenaga Kerja dan Kesejahteraan (pembentukan struktur keamanan informasi Kementerian Kesehatan, Tenaga Kerja dan Kesejahteraan, dll.)
- Pembentukan teknis (pembentukan sistem berdasarkan realitas dan risiko bisnis, dll.)
- Reformasi kesadaran Lembaga Pensiun Jepang
Sebagai contoh.
Selain itu, hanya ada kesepakatan umum tentang perlindungan keamanan informasi antara pihak yang diberi tugas, dan tidak ada kesepakatan yang jelas tentang respons spesifik ketika insiden terjadi, sehingga respons lambat dan kerugian menjadi lebih besar. (Sumber: Kementerian Kesehatan, Tenaga Kerja dan Kesejahteraan “Laporan Verifikasi Tanggal 21 Agustus Tahun Heisei 27 (2015)[ja]“)
Untuk mencegah situasi seperti ini, perlu:
- Mengadakan Service Level Agreement dengan konten yang spesifik
- Menyetujui secara jelas bahwa pihak yang diberi tugas akan menangani respons darurat
Service Level Agreement (SLA) adalah kontrak yang disepakati antara pihak yang menyediakan layanan dan pihak yang menerima layanan, mengenai kualitas layanan, cakupan aplikasi, metode penerimaan, tanggung jawab, dan biaya. Selain itu, dengan menyetujui respons saat insiden terjadi sebelumnya, respons yang cepat dan tepat dapat diambil.
Kasus Kebocoran Informasi Pribadi di Benesse Corporation
Pada tahun 2014, terjadi kasus kebocoran informasi pribadi di Benesse Corporation. Ini terjadi ketika seorang karyawan dari perusahaan yang diberi tugas menyalin data pelanggan dan menjualnya kepada pedagang daftar, sehingga menyebabkan sekitar 29,89 juta data pelanggan bocor.
Sebagai penyebab dari kasus ini, meskipun hak akses data telah diberikan kepada perusahaan yang diberi tugas dan perusahaan yang diberi tugas berikutnya, tidak ada sistem pengawasan yang cukup untuk mencegah kebocoran informasi.
Sebagai langkah-langkah penanggulangan, dapat dipertimbangkan:
- Mendefinisikan secara jelas ruang lingkup pekerjaan dan akses ke informasi dari perusahaan yang diberi tugas dalam kontrak
- Melakukan audit rutin terhadap perusahaan yang diberi tugas
- Memberlakukan kewajiban laporan tentang sistem pengawasan kepada perusahaan yang diberi tugas
- Menentukan individu yang akan menangani informasi penting di perusahaan yang diberi tugas dan melakukan peninjauan
Salah satu pelanggan kemudian mengajukan gugatan terhadap Benesse Corporation, penyedia layanan, untuk kompensasi kerugian sebesar 100.000 yen karena informasi pribadi dirinya dan anaknya bocor dalam insiden ini.
Meskipun pelanggan kalah di pengadilan pertama dan kedua, berdasarkan putusan Mahkamah Agung tanggal 23 Oktober Heisei 29 (2017),
“Tanpa mempertimbangkan secara memadai tentang adanya atau tidaknya kerugian mental penggugat akibat pelanggaran privasi dan tingkat kerugian tersebut, hanya karena tidak ada klaim atau bukti kerugian yang melebihi rasa tidak nyaman, penggugat harus ditolak segera”
Putusan Pengadilan Kecil Kedua tanggal 23 Oktober Heisei 29 (2017) Nomor 1892 (Penerimaan) Kasus Klaim Kompensasi Kerugian[ja]
Putusan pengadilan kedua dibatalkan dan kasus ini dikembalikan ke Pengadilan Tinggi Osaka untuk dipertimbangkan kembali.
Pada 20 November 2019, Pengadilan Tinggi Osaka mengakui pelanggaran privasi dan memerintahkan Benesse Corporation untuk membayar 1.000 yen.
Di pengadilan pertama dan kedua, tidak hanya pelanggaran privasi, tetapi juga apakah kerugian sebenarnya terjadi atau tidak menjadi titik yang ditekankan. Namun, di Mahkamah Agung, harus dipertimbangkan apakah ada pelanggaran privasi, terlepas dari adanya kerugian. Dalam kasus lain kebocoran informasi, banyak kasus yang mengakui klaim kompensasi kerugian berdasarkan kebocoran informasi, dan putusan Mahkamah Agung ini dianggap sejalan dengan tren tersebut.
Kesimpulan: Konsultasikan Sistem Pengendalian Internal Anda dengan Pengacara
Untuk menjalankan perusahaan atau organisasi dengan sehat, Anda perlu membangun dan mengoperasikan sistem pengendalian internal dengan tepat. Bahkan jika pihak yang Anda percayakan menyebabkan insiden keamanan seperti kebocoran informasi, ada kemungkinan pihak yang memberikan tugas tersebut akan bertanggung jawab, dan citra perusahaan juga tidak dapat dihindari. Untuk menghindari situasi seperti ini, Anda harus membangun sistem yang memastikan sistem pengendalian internal berfungsi dengan baik di pihak yang Anda percayakan.
Silakan konsultasikan dengan pengacara mengenai pembangunan dan operasi sistem pengendalian internal, termasuk penyiapan sistem keamanan informasi.
Panduan Strategi oleh Firma Kami
Firma Hukum Monolith adalah firma hukum yang memiliki keahlian tinggi dalam IT, khususnya internet dan hukum. Kebutuhan untuk pengecekan hukum dalam pembangunan dan operasional sistem kontrol internal semakin meningkat. Detail lebih lanjut dapat ditemukan dalam artikel di bawah ini.
Bidang yang ditangani oleh Firma Hukum Monolith: Hukum Perusahaan IT & Startup[ja]