Come prevenire gli incidenti di sicurezza dei fornitori? Spiegazione sulla costruzione e gestione del sistema di controllo interno dell'ente appaltante

Per le aziende, la costruzione di un sistema di controllo interno è obbligatoria secondo la legge giapponese sulle società (Japanese Company Law) e la legge giapponese sul commercio di strumenti finanziari (Japanese Financial Instruments and Exchange Law). Il termine “sistema di controllo interno” può sembrare complicato, ma in termini semplici, si tratta di un sistema per gestire adeguatamente le operazioni aziendali e prevenire i rischi.

Ma come funziona il sistema di controllo interno in relazione ai partner commerciali esterni? Questo diventa un problema, soprattutto perché le aziende spesso affidano vari compiti come la logistica e la manutenzione a terzi.

In questo articolo, discuteremo le misure per prevenire incidenti di sicurezza e l’implementazione del sistema di controllo interno presso i fornitori.

Cos’è il sistema di controllo interno

Il sistema di controllo interno è un insieme di mezzi e metodi organizzativi necessari per una gestione adeguata di un’impresa o organizzazione, come definito rispettivamente dalla legge giapponese sulle società (Legge delle Società Giapponese) e dalla legge giapponese sui titoli e gli scambi (Legge sui Titoli e gli Scambi Giapponese).

Secondo la legge giapponese sulle società, le seguenti società sono obbligate a stabilire un sistema di controllo interno:

• Grandi aziende
• Aziende con un comitato di nomina
• Aziende con un comitato di revisione

Inoltre, secondo la legge giapponese sui titoli e gli scambi, le società quotate sono obbligate a stabilire un sistema di controllo interno e devono presentare un rapporto di controllo interno per ogni esercizio finanziario. Questo rapporto di controllo interno deve essere certificato da un revisore contabile o da una società di revisione.

Se si verificano danni a causa di una perdita di informazioni dovuta a difetti nel sistema di controllo interno, l’azienda e i suoi direttori possono essere ritenuti responsabili per i danni. Per ulteriori informazioni sul sistema di controllo interno relativo alla protezione delle informazioni, si prega di fare riferimento all’articolo sottostante.

Articolo correlato: Spiegazione delle misure per prevenire la perdita di informazioni. Contenuto delle regole interne da stabilire[ja]

Rischi del sistema di controllo interno che possono sorgere durante l’affidamento di un incarico

Anche se la vostra azienda ha stabilito regolamenti relativi alla sicurezza delle informazioni, se l’ente a cui avete affidato l’incarico non ha stabilito tali regolamenti, o se il contenuto è insufficiente, c’è la possibilità che si verifichi un incidente di sicurezza presso l’ente a cui avete affidato l’incarico.

Se si verifica un incidente di sicurezza, anche se si tratta di un incidente presso l’ente a cui avete affidato l’incarico, c’è il rischio che l’immagine dell’azienda che ha la responsabilità di gestione possa essere danneggiata.

Pertanto, quando si affida un incarico, è importante costruire un sistema che non causi incidenti di sicurezza o simili anche presso l’ente a cui si affida l’incarico.

È necessario un sistema di controllo interno che includa la gestione dei fornitori

Considerando i precedenti giuridici, la creazione di un sistema di sicurezza delle informazioni è un elemento chiave nella costruzione di un sistema di controllo interno.

Se una società o un’organizzazione causa danni a terzi a causa di difetti nel sistema di sicurezza delle informazioni, c’è la possibilità che i direttori siano accusati di violazione del dovere di diligenza per aver trascurato l’obbligo di costruire un sistema di controllo interno. Inoltre, se ci sono difetti nel sistema di sicurezza delle informazioni del fornitore e ciò causa danni a terzi, è possibile che la società committente o i suoi direttori siano ritenuti responsabili.

Non ci sono casi confermati in cui, in caso di incidente di sicurezza dovuto a difetti nella gestione del fornitore, sia stata riconosciuta una richiesta di risarcimento danni basata sulla violazione del dovere di diligenza dovuta alla violazione dell’obbligo di costruire un sistema di controllo interno nei confronti dei direttori del committente. Tuttavia, si ritiene che ci possa essere la possibilità di un’azione legale in futuro.

Imparare l’importanza del sistema di controllo interno attraverso casi reali

Qui, esamineremo quali misure dovrebbero essere prese quando si esternalizzano i servizi, basandoci su casi passati.

Il caso di fuga di informazioni presso la Japan Pension Service

Nel 2015 (anno 27 dell’era Heisei), si è verificata una fuga di informazioni a causa di un accesso non autorizzato alla Japan Pension Service, e si è confermato che sono state divulgate informazioni personali come il numero di previdenza sociale di base e i nomi.

In relazione a questo, è stato istituito un comitato di verifica sul caso di fuga di informazioni a causa di un accesso non autorizzato alla Japan Pension Service (di seguito, “comitato di verifica”), e il 21 agosto 2015 (anno 27 dell’era Heisei) è stato redatto un rapporto di verifica che riassume i dettagli. Secondo questo rapporto, il sistema LAN della Japan Pension Service è stato attaccato e un gran numero di informazioni personali sono state divulgate dalla cartella condivisa.

Quando il sistema è stato costruito, era previsto che non si gestissero informazioni personali sul sistema LAN, ma sembra che fosse possibile inserire informazioni personali nella cartella condivisa sul sistema LAN sotto certe condizioni. Inoltre, il sistema LAN della Japan Pension Service non era gestito in modo da poter affrontare attacchi mirati, quindi ci è voluto del tempo per capire la situazione anche dopo aver notato l’attacco.

Il comitato di verifica ha proposto le seguenti misure per prevenire la ricorrenza:

• Sviluppo di un sistema umano (istituzione di un quartier generale per le misure di sicurezza, ecc.)
• Sviluppo del sistema di supervisione del Ministero del Lavoro, della Salute e del Welfare (sviluppo del sistema di sicurezza delle informazioni del Ministero del Lavoro, della Salute e del Welfare, ecc.)
• Sviluppo tecnico (sviluppo del sistema basato sulla realtà e sui rischi del lavoro, ecc.)
• Cambiamento di mentalità della Japan Pension Service

Questi sono stati citati.

Inoltre, c’era solo un accordo generale sulla protezione della sicurezza delle informazioni tra la Japan Pension Service e il contraente, e non c’era un accordo chiaro su come rispondere specificamente quando si verificava un incidente, il che ha ritardato la risposta e ha aumentato i danni. (Fonte: Ministero del Lavoro, della Salute e del Welfare “Rapporto di verifica datato 21 agosto 2015 (anno 27 dell’era Heisei)[ja]“)

Per prevenire tali situazioni, sarà necessario:

• Concludere un Service Level Agreement con contenuti specifici
• Concordare chiaramente che il contraente gestirà le risposte di emergenza

Il Service Level Agreement (SLA) è un contratto in cui il fornitore di servizi e il ricevente del servizio concordano sulla qualità del servizio, l’ambito di applicazione, il metodo di ricezione, la responsabilità, i costi, ecc. Inoltre, concordando in anticipo su come rispondere in caso di incidente, sarà possibile prendere misure rapide e appropriate.

Il caso di fuga di informazioni personali presso Benesse Corporation

Nel 2014 (anno 26 dell’era Heisei), si è verificato un caso di fuga di informazioni personali presso Benesse Corporation. Questo è stato causato da un dipendente del contraente che ha copiato i dati dei clienti e li ha venduti a un operatore di elenchi, risultando in una fuga di circa 29,89 milioni di informazioni sui clienti.

Come causa di questo caso, nonostante fossero stati concessi diritti di accesso ai dati ai subappaltatori e ai subappaltatori successivi, non c’era un sistema di monitoraggio adeguato per prevenire la fuga di informazioni.

Come misure, si potrebbe considerare:

• Definire chiaramente l’ambito del lavoro e l’accesso alle informazioni del contraente nel contratto
• Esecuzione di audit periodici al contraente
• Imporre al contraente l’obbligo di segnalare sul sistema di monitoraggio
• Selezionare e revisionare le persone che gestiscono informazioni importanti presso il contraente

Uno dei clienti ha intentato una causa contro Benesse Corporation, il fornitore del servizio, chiedendo un risarcimento di 100.000 yen per la fuga di informazioni personali sue e dei suoi figli in questo incidente.

Il cliente ha perso sia in primo che in secondo grado, ma la sentenza della Corte Suprema del 23 ottobre 2017 (anno 29 dell’era Heisei) ha annullato la sentenza di secondo grado e ha rimandato il caso alla Corte d’Appello di Osaka, affermando che:

“La sentenza impugnata ha respinto immediatamente la richiesta dell’appellante solo sulla base del fatto che non c’era stata alcuna affermazione o prova di danno che superasse il disagio, senza un’adeguata indagine sulla presenza e l’entità del danno psicologico dell’appellante causato dalla violazione della privacy.”

Sentenza della Seconda Piccola Corte del 23 ottobre 2017 (anno 29 dell’era Heisei) nel caso di richiesta di risarcimento danni n. 1892 (anno 28 dell’era Heisei)[ja]

Il 20 novembre 2019, la Corte d’Appello di Osaka ha riconosciuto la violazione della privacy e ha ordinato a Benesse Corporation di pagare 1.000 yen.

In primo e secondo grado, non solo la violazione della privacy, ma anche se effettivamente si era verificato un danno era stato considerato importante, ma la Corte Suprema ha deciso che doveva essere esaminata la questione della violazione della privacy, indipendentemente dalla presenza o meno di danno. In altri casi di fuga di informazioni, ci sono molti casi in cui viene riconosciuta una richiesta di risarcimento danni basata sulla fuga di informazioni, e si ritiene che questa sentenza della Corte Suprema sia in linea con tale tendenza.

Riassunto: Consulta un avvocato per il sistema di controllo interno

Per una gestione sana di un’azienda o di un’organizzazione, è necessario costruire e gestire adeguatamente un sistema di controllo interno. Anche nel caso in cui il fornitore provochi un incidente di sicurezza, come una fuga di informazioni, il committente può essere ritenuto responsabile e non può evitare un calo dell’immagine aziendale. Per evitare tali situazioni, è necessario costruire in anticipo un sistema in cui il sistema di controllo interno funzioni adeguatamente anche presso il fornitore.

Per la costruzione e la gestione del sistema di controllo interno, che include la preparazione del sistema di sicurezza delle informazioni, si prega di consultare un avvocato.

Presentazione delle misure adottate dal nostro studio legale

Lo studio legale Monolith è un’agenzia legale altamente specializzata in IT, in particolare nell’intersezione tra Internet e legge. La necessità di controlli legali sulla costruzione e gestione dei sistemi di controllo interno sta aumentando sempre di più. I dettagli sono descritti nell’articolo sottostante.

Aree di competenza dello studio legale Monolith: Affari aziendali IT e Venture[ja]