Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > I rischi di perdita di dati e la responsabilità legale degli operatori di sistemi

I rischi di perdita di dati e la responsabilità legale degli operatori di sistemi

IT

I rischi di perdita di dati e la responsabilità legale degli operatori di sistemi

È possibile che nei reparti di sistema delle aziende si verifichino problemi, come la perdita di importanti informazioni aziendali conservate nel database a causa di circostanze impreviste. In tali casi, se l’azienda ha esternalizzato le operazioni del sistema a un fornitore esterno, è possibile legalmente richiedere la responsabilità al fornitore esterno?

In questo articolo, discuteremo a chi spetta la responsabilità legale in caso di incidenti di perdita di informazioni nelle aziende.

Cosa si intende per “operatività” nei sistemi IT

Per “operatività” nei sistemi IT, in termini molto semplici, ci riferiamo al lavoro che coinvolge l’uso continuato del sistema esistente come prima. Il sistema che gli ingegneri IT e i programmatori hanno appena creato (= sviluppato) non è qualcosa che finisce una volta creato. Ad esempio, se si desidera eseguire un’operazione che non può essere eseguita dal lato del display, si può pensare che sia necessario collegare un computer al database e inserire direttamente il linguaggio del computer (come SQL) (ad esempio, l’estrazione o la modifica dei dati che non possono essere eseguite dal lato del display).

Questi compiti operativi sono spesso più facili da standardizzare, come la preparazione di manuali operativi, rispetto al lavoro di implementazione di nuovi programmi, e sono spesso più facili da esternalizzare a fornitori esterni.

Tuttavia, anche se il lavoro è facile da standardizzare, dal momento che si tratta di un lavoro che coinvolge l’operazione diretta del database gestito dall’azienda, è importante tenere a mente che è spesso a rischio di incidenti su larga scala. I rischi come la perdita o la fuga di informazioni detenute dall’azienda possono aumentare notevolmente se si procede con l’esternalizzazione senza considerare la gravità delle responsabilità del lavoro.

Il rischio di perdita di informazioni è più vicino di quanto si pensi

Ci sono vari tipi di database utilizzati dalle aziende, ma in realtà sono un tipo di software. E le operazioni di estrazione, modifica, aggiunta e cancellazione dei dati gestiti lì sono fondamentalmente eseguite utilizzando un linguaggio di programmazione chiamato SQL.

L’importanza del diritto

Ci sono vari tipi di lavori per gli ingegneri coinvolti nei sistemi IT, come lo sviluppo, l’operazione e la manutenzione, ma ciò che hanno in comune è che la gestione di cose astratte come “dati” e “linguaggi di programmazione” è al centro. Pertanto, anche se si tratta solo di un errore di funzionamento di un pulsante o di un piccolo errore di input in termini di aspetto del lavoro che stanno facendo, l’ambito di influenza di quell’errore può diffondersi ampiamente in modo imprevedibile. Questa premessa fondamentale dovrebbe essere consapevole di tutti coloro che lavorano con i sistemi, sia che siano esperti di tecnologia IT o meno. Di natura, se c’è un problema con un lavoro coinvolto nel sistema, l’ambito di influenza spesso si diffonde istantaneamente oltre il dipartimento in questione e oltre i confini dell’azienda. Il motivo per cui il diritto è importante per il sistema può essere spiegato in modo uniforme da entrambi i punti di vista del committente e del contraente.

Rischio di perdita di dati aziendali

Prendiamo un esempio un po’ più comune. La query (comando) per cancellare tutti i dati di una tabella in SQL è solo una riga, “TRUNCATE”. Quando si pensa al rischio di perdita di dati aziendali, non è così importante conoscere la sintassi SQL o come operare il software del database. Tuttavia, dovresti essere consapevole del fatto che, anche se stai parlando di come cancellare tutti i dati che un’azienda sta conservando, è solo una cosa così banale. Questa consapevolezza della realtà potrebbe essere il punto di partenza quando si pensa al rischio di perdita di dati aziendali.

Certo, le operazioni tendono ad essere standardizzate e spesso non ci sono problemi se si seguono le procedure. Tuttavia, allo stesso tempo, se si considera il caso in cui le procedure non vengono seguite e si verifica una situazione irregolare, l’importanza del diritto dovrebbe essere ovvia.

Chi è legalmente responsabile per la perdita di informazioni?

Cosa comporta la responsabilità legale in caso di perdita accidentale di dati?

La natura legale del lavoro dell’operatore di gestione

Quindi, in caso di perdita di dati a causa di un incidente imprevisto e senza alcun metodo di recupero, a chi spetta la responsabilità legale? Di seguito, analizzeremo tali incidenti da un punto di vista legale.

È difficile perseguire l’obbligo di custodia basato sul contratto di deposito

Una possibile teoria considerata quando si mette in discussione la responsabilità dell’operatore che gestisce i dati è quella di perseguire l’obbligo di diligenza nella custodia basato su un contratto di deposito a pagamento. In parole semplici, si tratta di vedere se è possibile perseguire la responsabilità per la perdita di “dati” nello stesso modo in cui si perseguirebbe la responsabilità per i danni in caso di perdita di un oggetto depositato in un armadietto a pagamento, ad esempio. Tuttavia, pensare che l'”obbligo di custodia dei dati” sorga naturalmente, come nel caso dell’obbligo di custodia di “beni”, non è realistico secondo la legge attuale.

Dipende dal contenuto specifico del contratto

Alla fine, la questione di “chi ha l’obbligo di custodire i dati” è difficile da risolvere uniformemente sulla base delle disposizioni del codice civile. Pertanto, la risposta dovrebbe essere “dipende da come è stato stabilito nel contenuto specifico del contratto”.

Inoltre, la questione di “qual era il contenuto del contratto” non viene determinata solo dal contratto stesso, ma anche dai verbali delle riunioni. L’importanza dei verbali delle riunioni è spiegata in dettaglio nell’articolo sottostante.

https://monolith.law/corporate/the-minutes-in-system-development[ja]

È difficile perseguire la responsabilità per atti illeciti da parte di terzi al di fuori del contratto

Inoltre, è chiaro dai precedenti giudiziari che è impossibile perseguire la responsabilità per atti illeciti da parte di terzi senza una relazione contrattuale. In un caso giudiziario, è stato messo in discussione se un utente potesse richiedere un risarcimento per danni basato su un atto illecito in caso di perdita di dati in un servizio di server in affitto.

Un esempio tipico di atto illecito è un incidente stradale. Ad esempio, se una persona viene ferita a causa di una negligenza del conducente in un incidente d’auto, la responsabilità civile (oltre a quella penale) sorge. Non si stipula un contratto con uno sconosciuto che dice “non colpirò le persone con la mia auto”, ma si può pensare che la responsabilità per i danni possa sorgere anche tra individui. Sulla base di questo quadro di responsabilità per atti illeciti, è stato discusso se fosse possibile perseguire la responsabilità per la perdita di dati, anche se non c’era una relazione contrattuale diretta.

Tuttavia, il tribunale ha indicato le caratteristiche delle informazioni digitali e ha affermato che è difficile presumere l’esistenza di tali obblighi.

Il server non è infallibile e può verificarsi un guasto che causa la perdita di programmi, ecc. Tuttavia, i programmi, ecc. sono informazioni digitali che possono essere facilmente replicate, e se l’utente ha registrato e conservato queste informazioni, può riavviare il programma, ecc. anche se queste sono state perse. Questo è ampiamente noto (dall’intero argomento del dibattito), quindi i querelanti avrebbero potuto facilmente prendere misure per prevenire la perdita del programma in questione e dei dati in questione. Alla luce della situazione di interesse di entrambe le parti, querelanti e imputati, non c’è motivo o necessità di imporre all’imputato, che installa e gestisce il server in questione, l’obbligo di prevenire la perdita delle registrazioni di cui sopra per proteggerle. (Omissione), i querelanti sostengono che il contratto di server in affitto ha la natura di un contratto di deposito per i programmi o i dati di terzi, e sulla base di ciò, l’imputato, come operatore di server in affitto, ha l’obbligo di diligenza nella custodia di tutti coloro che conservano le registrazioni sul server in questione, in particolare l’obbligo di prevenire la perdita delle registrazioni sul server, e sostengono che l’imputato ha violato l’obbligo di prevenire la perdita violando le registrazioni dei querelanti conservate sul server in questione.


Tuttavia, l’imputato ha solo stipulato un contratto di utilizzo del servizio di hosting del server condiviso con l’utente A, e non c’è una relazione contrattuale con i querelanti, e non si può dire che ci sia una natura di deposito riguardo alla conservazione del programma in questione e dei dati in questione conservati sul server in questione, quindi è difficile trovare una base per affermare che l’imputato ha un obbligo di diligenza nella custodia secondo la legge sugli atti illeciti nei confronti dei querelanti, con i quali non ha una relazione contrattuale. Di conseguenza, non si può dire che l’imputato, in quanto operatore di server in affitto, abbia naturalmente l’obbligo di diligenza nella custodia delle registrazioni conservate sul server in questione o l’obbligo di prevenire la perdita delle registrazioni nei confronti di terzi con i quali non ha una relazione contrattuale.

Giudizio del Tribunale di Tokyo, 20 maggio 2009 (anno 21 dell’era Heisei)

Questa sentenza ha indicato che non è ragionevole presumere l’esistenza di un “obbligo di non cancellare i dati” nei confronti di un terzo (il querelante) che non ha una relazione contrattuale diretta. Questa sentenza ha attirato una certa attenzione come possibile caso guida per futuri casi simili.

In conclusione, è probabile che sia “difficile” perseguire la responsabilità

In pratica, parlando di contratti comunemente utilizzati, non ci sono molti casi in cui il contratto prevede che l’obbligo di conservazione e backup dei dati sia responsabilità dell’operatore di gestione. Al contrario, la stragrande maggioranza dei contratti stabilisce che questa è responsabilità dell’utente (cioè l’azienda cliente).

Quindi, a meno che non ci sia un accordo speciale, sarebbe estremamente difficile dal punto di vista legale considerare che l’operatore del sistema abbia l’obbligo di prendere misure per prevenire la perdita di dati.

Cosa fare per prepararsi al rischio di perdita di informazioni

Sempre fare un backup per prevenire la perdita di dati.

Alla fine, il rischio di perdita di informazioni che un’azienda può affrontare riguarda le informazioni che l’azienda stessa conserva. Pertanto, è probabile che si debba dire che come l’azienda considera tale rischio di perdita e quale sistema di conservazione costruisce, sono questioni che l’azienda stessa dovrebbe decidere.

Inoltre, anche se la responsabilità dell’operatore viene riconosciuta, si potrebbe considerare la possibilità che il risarcimento del danno non venga riconosciuto in pieno a causa della compensazione per negligenza. Ci sono stati casi in cui, in precedenti sentenze, il difensore che aveva conservato i dati del querelante sul server ha cancellato i dati, e il fatto che il querelante non aveva fatto un backup è stato considerato “negligenza”, e la compensazione per negligenza è stata riconosciuta.

Il querelante avrebbe potuto facilmente prendere misure come il backup per il contenuto del file in questione, e avrebbe potuto prevenire l’insorgenza del danno (…) o avrebbe potuto limitare l’insorgenza del danno a qualcosa di molto minore, nonostante ciò, si riconosce che al momento dell’incidente di cancellazione in questione, il querelante non aveva conservato alcun contenuto di dati del file in questione.

In questo caso, quando si determina l’importo del risarcimento del danno che il difensore deve sostenere, si dovrebbe dire che è appropriato applicare la disposizione di compensazione per negligenza tenendo conto di questo punto, in linea con il concetto di equità nel diritto del risarcimento del danno. (…)

Il querelante sostiene che non era possibile prevedere che il file in questione sarebbe stato cancellato dal server dal difensore, che è un fornitore di servizi, e che non si può riconoscere l’obbligo legale di fare un backup, e che la sua inazione non può essere considerata negligenza in senso legale, e quindi l’applicazione della compensazione per negligenza dovrebbe essere negata.

Tuttavia, per applicare la compensazione per negligenza, è sufficiente riconoscere la prevedibilità del querelante per l’insorgenza del risultato della cancellazione del file in questione, e non è necessario prevedere la possibilità che il file in questione sia stato cancellato a causa della violazione dell’obbligo di attenzione del difensore come causa del risultato.

In questo caso, (…) è chiaro che il querelante era consapevole del rischio di intrusioni di hacker, ecc., nel sito web, e inoltre, il querelante riconosce che c’è un rischio di alterazione e distruzione delle informazioni nelle comunicazioni su Internet, e che tale rischio era prevedibile, quindi si giudica che il querelante avesse previsto il rischio di cancellazione del file in questione a causa di cause intrinseche alle comunicazioni su Internet, e la prevedibilità dell’insorgenza del risultato della cancellazione del file in questione è pienamente affermata, e non ci sono ostacoli a riconoscere l’applicazione della compensazione per negligenza.

Sentenza del Tribunale di Tokyo, 28 settembre 2001 (anno 13 dell’era Heisei)

In questo caso, “dato che non aveva fatto un backup, era prevedibile che ci fosse un rischio di cancellazione del file per qualche motivo, come l’intrusione di hacker, ecc., e quindi c’è un’applicazione di compensazione per negligenza”, e l’importo del risarcimento del danno è stato ridotto a metà.

Riassunto

Non si tratta solo del rischio di perdita di dati, ma spesso quando si esternalizza il sistema, gli utenti tendono a preoccuparsi solo dell’esperienza operativa lato schermo, e la governance dell’organizzazione spesso non si estende fino all’area del database dove vengono conservati i dati.

Tuttavia, i precedenti giudiziari suggeriscono che non dovremmo mai considerare questi problemi come “affari di altri”. In altre parole, dovremmo essere consapevoli che l’implementazione di un sistema di gestione che tenga conto del rischio di perdita di informazioni, come il backup, è un problema che riguarda l’utente (all’interno dell’organizzazione).

I precedenti giudiziari suggeriscono che non prepararsi per tali rischi potrebbe portare a situazioni irreparabili, e dovremmo interpretare questo come un avvertimento sulla necessità di prevenzione.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Spiegazione semplice del meccanismo di mining delle cripto-attività: Quali sono gli effetti e i punti di attenzione della 'Legge Giapponese sul Deposito Modificata'?

Spiegazione semplice del meccanismo di mining delle cripto-attività: Quali sono gli effetti e i .

IT

Quali sono le tre sfide legali di DeFi? Spiegazione della regolamentazione legale relativa all'emissione di token DEX

Quali sono le tre sfide legali di DeFi? Spiegazione della regolamentazione legale relativa all'e.

IT

Cosa sono le responsabilità per inadempimento del contratto nello sviluppo di sistemi e software? Spiegazione dei punti di revisione

Cosa sono le responsabilità per inadempimento del contratto nello sviluppo di sistemi e software.

IT

Cos'è il contratto intelligente, indispensabile per le transazioni NFT? Spiegazione di 4 caratteristiche e svantaggi

Cos'è il contratto intelligente, indispensabile per le transazioni NFT? Spiegazione di 4 caratte.

IT

Cosa sono le 'Linee guida sulle vendite casuali di NFT'? Spiegazione dei tipi che non rientrano nel reato di gioco d'azzardo

Cosa sono le 'Linee guida sulle vendite casuali di NFT'? Spiegazione dei tipi che non rientrano .

IT

Rischi e misure associate all'uso delle librerie nella costruzione di sistemi aziendali

Rischi e misure associate all'uso delle librerie nella costruzione di sistemi aziendali

IT

Cosa sono la definizione di 'Open Source (OSS)' e i punti di attenzione sulla legge del copyright giapponese?

Cosa sono la definizione di 'Open Source (OSS)' e i punti di attenzione sulla legge del copyrigh.

IT

Quali sono i concetti chiave da comprendere riguardo alla relazione tra AI generativa e diritto d'autore?

Quali sono i concetti chiave da comprendere riguardo alla relazione tra AI generativa e diritto .

IT

Cos'è il servizio di custodia? Spiegazione sulla regolamentazione per i fornitori di scambio di criptoasset

Cos'è il servizio di custodia? Spiegazione sulla regolamentazione per i fornitori di scambio di .

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su