{"id":60720,"date":"2023-11-07T18:59:12","date_gmt":"2023-11-07T09:59:12","guid":{"rendered":"https:\/\/monolith.law\/it\/?p=60720"},"modified":"2023-11-12T16:00:58","modified_gmt":"2023-11-12T07:00:58","slug":"internal-control-system","status":"publish","type":"post","link":"https:\/\/monolith.law\/it\/general-corporate\/internal-control-system","title":{"rendered":"Come prevenire gli incidenti di sicurezza dei fornitori? Spiegazione sulla costruzione e gestione del sistema di controllo interno dell&#8217;ente appaltante"},"content":{"rendered":"\n<p>Per le aziende, la costruzione di un sistema di controllo interno \u00e8 obbligatoria secondo la legge giapponese sulle societ\u00e0 (Japanese Company Law) e la legge giapponese sul commercio di strumenti finanziari (Japanese Financial Instruments and Exchange Law). Il termine &#8220;sistema di controllo interno&#8221; pu\u00f2 sembrare complicato, ma in termini semplici, si tratta di un sistema per gestire adeguatamente le operazioni aziendali e prevenire i rischi.<\/p>\n\n\n\n<p>Ma come funziona il sistema di controllo interno in relazione ai partner commerciali esterni? Questo diventa un problema, soprattutto perch\u00e9 le aziende spesso affidano vari compiti come la logistica e la manutenzione a terzi.<\/p>\n\n\n\n<p>In questo articolo, discuteremo le misure per prevenire incidenti di sicurezza e l&#8217;implementazione del sistema di controllo interno presso i fornitori.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/it\/general-corporate\/internal-control-system\/#Cos%E2%80%99e_il_sistema_di_controllo_interno\" title=\"Cos&#8217;\u00e8 il sistema di controllo interno\">Cos&#8217;\u00e8 il sistema di controllo interno<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/it\/general-corporate\/internal-control-system\/#Rischi_del_sistema_di_controllo_interno_che_possono_sorgere_durante_l%E2%80%99affidamento_di_un_incarico\" title=\"Rischi del sistema di controllo interno che possono sorgere durante l&#8217;affidamento di un incarico\">Rischi del sistema di controllo interno che possono sorgere durante l&#8217;affidamento di un incarico<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/it\/general-corporate\/internal-control-system\/#E_necessario_un_sistema_di_controllo_interno_che_includa_la_gestione_dei_fornitori\" title=\"\u00c8 necessario un sistema di controllo interno che includa la gestione dei fornitori\">\u00c8 necessario un sistema di controllo interno che includa la gestione dei fornitori<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/it\/general-corporate\/internal-control-system\/#Imparare_l%E2%80%99importanza_del_sistema_di_controllo_interno_attraverso_casi_reali\" title=\"Imparare l&#8217;importanza del sistema di controllo interno attraverso casi reali\">Imparare l&#8217;importanza del sistema di controllo interno attraverso casi reali<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/it\/general-corporate\/internal-control-system\/#Il_caso_di_fuga_di_informazioni_presso_la_Japan_Pension_Service\" title=\"Il caso di fuga di informazioni presso la Japan Pension Service\">Il caso di fuga di informazioni presso la Japan Pension Service<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/it\/general-corporate\/internal-control-system\/#Il_caso_di_fuga_di_informazioni_personali_presso_Benesse_Corporation\" title=\"Il caso di fuga di informazioni personali presso Benesse Corporation\">Il caso di fuga di informazioni personali presso Benesse Corporation<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/it\/general-corporate\/internal-control-system\/#Riassunto_Consulta_un_avvocato_per_il_sistema_di_controllo_interno\" title=\"Riassunto: Consulta un avvocato per il sistema di controllo interno\">Riassunto: Consulta un avvocato per il sistema di controllo interno<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/it\/general-corporate\/internal-control-system\/#Presentazione_delle_misure_adottate_dal_nostro_studio_legale\" title=\"Presentazione delle misure adottate dal nostro studio legale\">Presentazione delle misure adottate dal nostro studio legale<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Cos%E2%80%99e_il_sistema_di_controllo_interno\"><\/span>Cos&#8217;\u00e8 il sistema di controllo interno<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/01\/shutterstock_2040715259.jpg\" alt=\"Cos'\u00e8 il sistema di controllo interno\" class=\"wp-image-57124\" \/><\/figure>\n\n\n\n<p>Il sistema di controllo interno \u00e8 un insieme di mezzi e metodi organizzativi necessari per una gestione adeguata di un&#8217;impresa o organizzazione, come definito rispettivamente dalla legge giapponese sulle societ\u00e0 (Legge delle Societ\u00e0 Giapponese) e dalla legge giapponese sui titoli e gli scambi (Legge sui Titoli e gli Scambi Giapponese).<\/p>\n\n\n\n<p>Secondo la legge giapponese sulle societ\u00e0, le seguenti societ\u00e0 sono obbligate a stabilire un sistema di controllo interno:<\/p>\n\n\n\n<ul>\n<li>Grandi aziende<\/li>\n\n\n\n<li>Aziende con un comitato di nomina<\/li>\n\n\n\n<li>Aziende con un comitato di revisione<\/li>\n<\/ul>\n\n\n\n<p>Inoltre, secondo la legge giapponese sui titoli e gli scambi, le societ\u00e0 quotate sono obbligate a stabilire un sistema di controllo interno e devono presentare un rapporto di controllo interno per ogni esercizio finanziario. Questo rapporto di controllo interno deve essere certificato da un revisore contabile o da una societ\u00e0 di revisione.<\/p>\n\n\n\n<p>Se si verificano danni a causa di una perdita di informazioni dovuta a difetti nel sistema di controllo interno, l&#8217;azienda e i suoi direttori possono essere ritenuti responsabili per i danni. Per ulteriori informazioni sul sistema di controllo interno relativo alla protezione delle informazioni, si prega di fare riferimento all&#8217;articolo sottostante.<\/p>\n\n\n\n<p>Articolo correlato: <a href=\"https:\/\/monolith.law\/corporate\/company-regulations\" target=\"_blank\" rel=\"noreferrer noopener\">Spiegazione delle misure per prevenire la perdita di informazioni. Contenuto delle regole interne da stabilire[ja]<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Rischi_del_sistema_di_controllo_interno_che_possono_sorgere_durante_l%E2%80%99affidamento_di_un_incarico\"><\/span>Rischi del sistema di controllo interno che possono sorgere durante l&#8217;affidamento di un incarico<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Anche se la vostra azienda ha stabilito regolamenti relativi alla sicurezza delle informazioni, se l&#8217;ente a cui avete affidato l&#8217;incarico non ha stabilito tali regolamenti, o se il contenuto \u00e8 insufficiente, c&#8217;\u00e8 la possibilit\u00e0 che si verifichi un incidente di sicurezza presso l&#8217;ente a cui avete affidato l&#8217;incarico.<\/p>\n\n\n\n<p>Se si verifica un incidente di sicurezza, anche se si tratta di un incidente presso l&#8217;ente a cui avete affidato l&#8217;incarico, c&#8217;\u00e8 il rischio che l&#8217;immagine dell&#8217;azienda che ha la responsabilit\u00e0 di gestione possa essere danneggiata.<\/p>\n\n\n\n<p>Pertanto, quando si affida un incarico, \u00e8 importante costruire un sistema che non causi incidenti di sicurezza o simili anche presso l&#8217;ente a cui si affida l&#8217;incarico.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"E_necessario_un_sistema_di_controllo_interno_che_includa_la_gestione_dei_fornitori\"><\/span>\u00c8 necessario un sistema di controllo interno che includa la gestione dei fornitori<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Considerando i precedenti giuridici, la creazione di un sistema di sicurezza delle informazioni \u00e8 un elemento chiave nella costruzione di un sistema di controllo interno.<\/p>\n\n\n\n<p>Se una societ\u00e0 o un&#8217;organizzazione causa danni a terzi a causa di difetti nel sistema di sicurezza delle informazioni, c&#8217;\u00e8 la possibilit\u00e0 che i direttori siano accusati di violazione del dovere di diligenza per aver trascurato l&#8217;obbligo di costruire un sistema di controllo interno. Inoltre, se ci sono difetti nel sistema di sicurezza delle informazioni del fornitore e ci\u00f2 causa danni a terzi, \u00e8 possibile che la societ\u00e0 committente o i suoi direttori siano ritenuti responsabili.<\/p>\n\n\n\n<p>Non ci sono casi confermati in cui, in caso di incidente di sicurezza dovuto a difetti nella gestione del fornitore, sia stata riconosciuta una richiesta di risarcimento danni basata sulla violazione del dovere di diligenza dovuta alla violazione dell&#8217;obbligo di costruire un sistema di controllo interno nei confronti dei direttori del committente. Tuttavia, si ritiene che ci possa essere la possibilit\u00e0 di un&#8217;azione legale in futuro.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Imparare_l%E2%80%99importanza_del_sistema_di_controllo_interno_attraverso_casi_reali\"><\/span>Imparare l&#8217;importanza del sistema di controllo interno attraverso casi reali<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/01\/shutterstock_708636133.jpg\" alt=\"Misure da prendere quando si esternalizza\" class=\"wp-image-57125\" \/><\/figure>\n\n\n\n<p>Qui, esamineremo quali misure dovrebbero essere prese quando si esternalizzano i servizi, basandoci su casi passati.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_caso_di_fuga_di_informazioni_presso_la_Japan_Pension_Service\"><\/span>Il caso di fuga di informazioni presso la Japan Pension Service<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Nel 2015 (anno 27 dell&#8217;era Heisei), si \u00e8 verificata una fuga di informazioni a causa di un accesso non autorizzato alla Japan Pension Service, e si \u00e8 confermato che sono state divulgate informazioni personali come il numero di previdenza sociale di base e i nomi.<\/p>\n\n\n\n<p>In relazione a questo, \u00e8 stato istituito un comitato di verifica sul caso di fuga di informazioni a causa di un accesso non autorizzato alla Japan Pension Service (di seguito, &#8220;comitato di verifica&#8221;), e il 21 agosto 2015 (anno 27 dell&#8217;era Heisei) \u00e8 stato redatto un rapporto di verifica che riassume i dettagli. Secondo questo rapporto, il sistema LAN della Japan Pension Service \u00e8 stato attaccato e un gran numero di informazioni personali sono state divulgate dalla cartella condivisa.<\/p>\n\n\n\n<p>Quando il sistema \u00e8 stato costruito, era previsto che non si gestissero informazioni personali sul sistema LAN, ma sembra che fosse possibile inserire informazioni personali nella cartella condivisa sul sistema LAN sotto certe condizioni. Inoltre, il sistema LAN della Japan Pension Service non era gestito in modo da poter affrontare attacchi mirati, quindi ci \u00e8 voluto del tempo per capire la situazione anche dopo aver notato l&#8217;attacco.<\/p>\n\n\n\n<p>Il comitato di verifica ha proposto le seguenti misure per prevenire la ricorrenza:<\/p>\n\n\n\n<ul>\n<li>Sviluppo di un sistema umano (istituzione di un quartier generale per le misure di sicurezza, ecc.)<\/li>\n\n\n\n<li>Sviluppo del sistema di supervisione del Ministero del Lavoro, della Salute e del Welfare (sviluppo del sistema di sicurezza delle informazioni del Ministero del Lavoro, della Salute e del Welfare, ecc.)<\/li>\n\n\n\n<li>Sviluppo tecnico (sviluppo del sistema basato sulla realt\u00e0 e sui rischi del lavoro, ecc.)<\/li>\n\n\n\n<li>Cambiamento di mentalit\u00e0 della Japan Pension Service<\/li>\n<\/ul>\n\n\n\n<p>Questi sono stati citati.<\/p>\n\n\n\n<p>Inoltre, c&#8217;era solo un accordo generale sulla protezione della sicurezza delle informazioni tra la Japan Pension Service e il contraente, e non c&#8217;era un accordo chiaro su come rispondere specificamente quando si verificava un incidente, il che ha ritardato la risposta e ha aumentato i danni. (Fonte: Ministero del Lavoro, della Salute e del Welfare &#8220;<a href=\"https:\/\/www.mhlw.go.jp\/file\/05-Shingikai-10201000-Daijinkanbousoumuka-Soumuka\/0000095309.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Rapporto di verifica datato 21 agosto 2015 (anno 27 dell&#8217;era Heisei)[ja]<\/a>&#8220;)<\/p>\n\n\n\n<p>Per prevenire tali situazioni, sar\u00e0 necessario:<\/p>\n\n\n\n<ul>\n<li>Concludere un Service Level Agreement con contenuti specifici<\/li>\n\n\n\n<li>Concordare chiaramente che il contraente gestir\u00e0 le risposte di emergenza<\/li>\n<\/ul>\n\n\n\n<p>Il Service Level Agreement (SLA) \u00e8 un contratto in cui il fornitore di servizi e il ricevente del servizio concordano sulla qualit\u00e0 del servizio, l&#8217;ambito di applicazione, il metodo di ricezione, la responsabilit\u00e0, i costi, ecc. Inoltre, concordando in anticipo su come rispondere in caso di incidente, sar\u00e0 possibile prendere misure rapide e appropriate.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_caso_di_fuga_di_informazioni_personali_presso_Benesse_Corporation\"><\/span>Il caso di fuga di informazioni personali presso Benesse Corporation<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Nel 2014 (anno 26 dell&#8217;era Heisei), si \u00e8 verificato un caso di fuga di informazioni personali presso Benesse Corporation. Questo \u00e8 stato causato da un dipendente del contraente che ha copiato i dati dei clienti e li ha venduti a un operatore di elenchi, risultando in una fuga di circa 29,89 milioni di informazioni sui clienti.<\/p>\n\n\n\n<p>Come causa di questo caso, nonostante fossero stati concessi diritti di accesso ai dati ai subappaltatori e ai subappaltatori successivi, non c&#8217;era un sistema di monitoraggio adeguato per prevenire la fuga di informazioni.<\/p>\n\n\n\n<p>Come misure, si potrebbe considerare:<\/p>\n\n\n\n<ul>\n<li>Definire chiaramente l&#8217;ambito del lavoro e l&#8217;accesso alle informazioni del contraente nel contratto<\/li>\n\n\n\n<li>Esecuzione di audit periodici al contraente<\/li>\n\n\n\n<li>Imporre al contraente l&#8217;obbligo di segnalare sul sistema di monitoraggio<\/li>\n\n\n\n<li>Selezionare e revisionare le persone che gestiscono informazioni importanti presso il contraente<\/li>\n<\/ul>\n\n\n\n<p>Uno dei clienti ha intentato una causa contro Benesse Corporation, il fornitore del servizio, chiedendo un risarcimento di 100.000 yen per la fuga di informazioni personali sue e dei suoi figli in questo incidente.<\/p>\n\n\n\n<p>Il cliente ha perso sia in primo che in secondo grado, ma la sentenza della Corte Suprema del 23 ottobre 2017 (anno 29 dell&#8217;era Heisei) ha annullato la sentenza di secondo grado e ha rimandato il caso alla Corte d&#8217;Appello di Osaka, affermando che:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>&#8220;La sentenza impugnata ha respinto immediatamente la richiesta dell&#8217;appellante solo sulla base del fatto che non c&#8217;era stata alcuna affermazione o prova di danno che superasse il disagio, senza un&#8217;adeguata indagine sulla presenza e l&#8217;entit\u00e0 del danno psicologico dell&#8217;appellante causato dalla violazione della privacy.&#8221;<\/p>\n<cite><a href=\"https:\/\/www.courts.go.jp\/app\/files\/hanrei_jp\/154\/087154_hanrei.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Sentenza della Seconda Piccola Corte del 23 ottobre 2017 (anno 29 dell&#8217;era Heisei) nel caso di richiesta di risarcimento danni n. 1892 (anno 28 dell&#8217;era Heisei)[ja]<\/a><\/cite><\/blockquote>\n\n\n\n<p>Il 20 novembre 2019, la Corte d&#8217;Appello di Osaka ha riconosciuto la violazione della privacy e ha ordinato a Benesse Corporation di pagare 1.000 yen.<\/p>\n\n\n\n<p>In primo e secondo grado, non solo la violazione della privacy, ma anche se effettivamente si era verificato un danno era stato considerato importante, ma la Corte Suprema ha deciso che doveva essere esaminata la questione della violazione della privacy, indipendentemente dalla presenza o meno di danno. In altri casi di fuga di informazioni, ci sono molti casi in cui viene riconosciuta una richiesta di risarcimento danni basata sulla fuga di informazioni, e si ritiene che questa sentenza della Corte Suprema sia in linea con tale tendenza.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Riassunto_Consulta_un_avvocato_per_il_sistema_di_controllo_interno\"><\/span>Riassunto: Consulta un avvocato per il sistema di controllo interno<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Per una gestione sana di un&#8217;azienda o di un&#8217;organizzazione, \u00e8 necessario costruire e gestire adeguatamente un sistema di controllo interno. Anche nel caso in cui il fornitore provochi un incidente di sicurezza, come una fuga di informazioni, il committente pu\u00f2 essere ritenuto responsabile e non pu\u00f2 evitare un calo dell&#8217;immagine aziendale. Per evitare tali situazioni, \u00e8 necessario costruire in anticipo un sistema in cui il sistema di controllo interno funzioni adeguatamente anche presso il fornitore.<\/p>\n\n\n\n<p>Per la costruzione e la gestione del sistema di controllo interno, che include la preparazione del sistema di sicurezza delle informazioni, si prega di consultare un avvocato.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Presentazione_delle_misure_adottate_dal_nostro_studio_legale\"><\/span>Presentazione delle misure adottate dal nostro studio legale<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Lo studio legale Monolith \u00e8 un&#8217;agenzia legale altamente specializzata in IT, in particolare nell&#8217;intersezione tra Internet e legge. La necessit\u00e0 di controlli legali sulla costruzione e gestione dei sistemi di controllo interno sta aumentando sempre di pi\u00f9. I dettagli sono descritti nell&#8217;articolo sottostante.<\/p>\n\n\n\n<p>Aree di competenza dello studio legale Monolith: <a href=\"https:\/\/monolith.law\/practices\/corporate\" target=\"_blank\" rel=\"noreferrer noopener\">Affari aziendali IT e Venture[ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Per le aziende, la costruzione di un sistema di controllo interno \u00e8 obbligatoria secondo la legge giapponese sulle societ\u00e0 (Japanese Company Law) e la legge giapponese sul commercio di strumenti finan [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":60838,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[24,29],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/posts\/60720"}],"collection":[{"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/comments?post=60720"}],"version-history":[{"count":1,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/posts\/60720\/revisions"}],"predecessor-version":[{"id":60839,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/posts\/60720\/revisions\/60839"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/media\/60838"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/media?parent=60720"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/categories?post=60720"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/tags?post=60720"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}