위탁처의 보안 사고를 방지하는 방법은? 발주처의 내부 통제 시스템 구축 및 운영에 대해 설명합니다
기업들은 일본 회사법(Japanese Company Law)과 금융상품거래법(Japanese Financial Instruments and Exchange Act)에 따라 내부 통제 시스템을 구축하는 것이 의무화되어 있습니다. ‘내부 통제 시스템’이라는 용어는 복잡하게 느껴질 수 있지만, 간단히 말하면 회사의 업무를 적절하게 운영하고 위험을 방지하기 위한 체계를 의미합니다.
그렇다면, 내부 통제 시스템은 외부 거래처와의 관계에서 어떻게 작동할까요? 특히, 기업들은 물류, 유지 보수 등 다양한 업무를 외부에 위탁하는 경우가 많아 이에 대한 문제가 제기됩니다.
본 글에서는 위탁받은 업체에서의 내부 통제 시스템 운영 및 보안 사고를 방지하기 위한 대책에 대해 설명하겠습니다.
내부 통제 시스템이란?
내부 통제 시스템이란, 기업이나 조직이 적절한 경영을 위해 필요한 조직적인 수단이나 방법을 가리키며, 일본 회사법과 금융상품거래법에 각각 정의되어 있습니다.
일본 회사법에 따르면, 다음과 같은 회사들은 내부 통제 시스템을 구축하는 것이 의무화되어 있습니다.
- 대기업
- 지명위원회 등 설치 회사
- 감사 등 위원회 설치 회사
또한, 금융상품거래법에 따르면, 상장기업에게는 내부 통제 시스템 구축 의무가 부과되며, 매 사업연도마다 내부 통제 보고서를 제출해야 합니다. 이 내부 통제 보고서는 공인회계사 또는 감사법인의 감사증명을 받아야 합니다.
내부 통제 시스템의 미비로 인해 정보 유출 등이 발생하여 손해가 발생한 경우, 회사나 이사는 손해배상 책임을 지게 될 수 있습니다. 정보 보호에 관한 내부 통제 시스템에 대해서는 아래의 기사에서 자세히 설명하고 있으니 참조하시기 바랍니다.
관련 기사: 정보 유출 방지책을 설명, 정비해야 할 사내 규정의 내용은[ja]
업무 위탁 시 발생할 수 있는 내부 통제 시스템 상의 위험
자사에서 정보 보안 관련 규정을 제정하고 있더라도, 위탁처에서는 그러한 규정을 제정하지 않았거나, 내용이 불충분한 경우, 위탁처에서 보안 사고가 발생할 가능성이 있습니다.
보안 사고가 발생한 경우, 위탁처에서의 사고라 하더라도, 그 관리 책임이 있는 위탁원 기업의 이미지가 하락하는 위험이 있습니다.
따라서, 업무 위탁 시에는, 위탁처에서도 보안 사고 등을 일으키지 않도록 체계를 구축해 두는 것이 중요합니다.
위탁처 관리를 포함한 내부 통제 시스템이 필요
판례 등을 고려하면, 정보 보안 시스템의 구축은 내부 통제 시스템을 구축하는 데 중요한 요소 중 하나입니다.
정보 보안 시스템에 결함이 있어 회사나 조직이 제3자에게 손해를 입힌 경우, 내부 통제 시스템의 구축 의무를 게을리 한 것으로, 이사도 선량한 관리 의무 위반으로 문제가 될 수 있습니다. 또한, 위탁처의 정보 보안 시스템에 결함이 있어 제3자에게 손해가 발생한 경우에도, 위탁 주체인 회사나 이사가 책임을 물을 가능성이 있습니다.
그러나, 위탁처에서의 관리에 결함이 있어 보안 사고가 발생한 경우, 위탁 주체인 이사 등에 대해 내부 통제 구축 의무 위반을 이유로 한 선량한 관리 의무 위반에 기초한 손해배상 청구 등이 인정된 사례는 확인되지 않았지만, 앞으로 소송이 제기될 가능성이 있다고 생각됩니다.
사례를 통해 배우는 내부 통제 시스템의 중요성
여기서는 업무 위탁을 진행할 때, 과거의 사례를 바탕으로 어떤 대책을 취해야 하는지 살펴보겠습니다.
일본연금기구에서의 정보 유출 사건
2015년(헤이세이 27년), 일본연금기구에서 불법 접근에 의한 정보 유출이 발생하였고, 기본 연금 번호나 이름 등의 개인 정보 유출이 확인되었습니다.
이에 대해, 일본연금기구에서의 불법 접근에 의한 정보 유출 사건 검증 위원회(이하 ‘검증 위원회’라고 함)가 설치되어, 사건의 경과 등을 정리한 2015년 8월 21일자 검증 보고서가 작성되었습니다. 이 보고서에 따르면, 일본연금기구의 LAN 시스템이 공격을 받아, 공유 폴더 내의 대량의 개인 정보가 유출되었습니다.
시스템을 구축할 때, LAN 시스템 상에서는 개인 정보를 다루지 않기로 하였지만, 일정한 조건 하에서 LAN 시스템 상의 공유 폴더에 개인 정보가 들어갈 수 있게 되어 있었습니다. 또한, 일본연금기구의 LAN 시스템은 표적형 공격에 대응할 수 있는 운영이 되어 있지 않아, 공격을 인지한 후에도 상황 파악에 시간이 걸렸습니다.
검증 위원회는 재발 방지 대책으로서
- 인적 체제의 정비(보안 대책 본부의 설치 등)
- 보건 노동성의 감독 체제의 정비(보건 노동성의 정보 보안 체제의 정비 등)
- 기술적인 정비(업무의 실상·위험에 기반한 시스템 정비 등)
- 일본연금기구의 의식 개혁
을 제시하였습니다.
또한, 위탁처와의 사이에서 정보 보안 보호에 관한 일반적인 합의만 이루어졌을 뿐, 실제로 인시던트가 발생했을 때의 구체적인 대응에 대해 명확한 합의가 없었기 때문에, 대응이 늦어져 피해가 커졌습니다. (출처: 보건 노동성 ‘헤이세이 27년 8월 21일자 검증 보고서[ja]‘)
이러한 상황을 방지하기 위해,
- 서비스 레벨 약정을 구체적인 내용으로 체결해 두는 것
- 긴급 시 대응을 위탁처가 진행하는 것에 대해 명확하게 합의해 두는 것
등이 필요하게 될 것입니다.
서비스 레벨 약정(Service Level Agreement, SLA)이란, 서비스를 제공하는 측과, 서비스를 받는 측 사이에서, 서비스의 품질이나 적용 범위, 수령 방법, 책임이나 비용 등에 대해 합의를 맺는 계약을 가리킵니다. 또한, 인시던트 발생 시의 대응에 대해서도 미리 합의해 두면, 신속하게 적절한 대응을 취할 수 있게 됩니다.
베네세 코퍼레이션에서의 개인 정보 유출 사건
2014년, 베네세 코퍼레이션에서의 개인 정보 유출 사건이 발생하였습니다. 이는 위탁처의 직원이 고객 데이터를 복사하여 명부 업체에 판매한 것으로, 고객 정보 약 2,989만 건이 유출된 것입니다.
이 사건의 원인으로는, 재위탁처나 재재위탁처에게까지 데이터의 접근 권한을 부여하고 있었음에도 불구하고, 정보가 유출되지 않도록 하는 충분한 감시 체제가 없었다는 점이 제기되었습니다.
대책으로는,
- 위탁처의 업무 범위·정보에 대한 접근 범위를 계약상 명확하게 정의하는 것
- 위탁처에 대한 정기 감사의 실시
- 위탁처에 감시 체제에 관한 보고 의무를 부과하는 것
- 위탁처에서 중요한 정보를 다루는 자를 정하고, 심사를 진행하는 것
등이 고려될 수 있습니다.
참고로, 그 후 고객 중 한 명은, 이 사건에서 자신과 자녀의 개인 정보가 유출된 것에 대해, 서비스 제공원인 베네세 코퍼레이션에 대해 10만 엔의 손해배상을 청구하는 소송을 제기하였습니다.
일심과 이심에서는 고객 측이 패소하였지만, 헤이세이 29년 10월 23일자 최고법원 판결에 따라,
“프라이버시의 침해에 의한 상고인의 정신적 손해의 유무 및 그 정도 등에 대해 충분히 심리하지 않고, 불쾌감 등을 초월하는 손해의 발생에 대한 주장, 입증이 이루어지지 않았다는 것만으로 바로 상고인의 청구를 기각해야 할 것이라고 한 것은”
헤이세이 28년(수) 제1892호 손해배상 청구 사건 헤이세이 29년 10월 23일 제2소법원 판결[ja]
라고 하여, 이심 판결을 파기하고, 오사카 고등법원에 심리를 돌려보냈습니다.
2019년 11월 20일, 오사카 고등법원은 프라이버시의 침해를 인정하고, 베네세 코퍼레이션에 대해 1,000엔의 지급을 명령하였습니다.
일심과 이심에서는 프라이버시의 침해뿐만 아니라, 실제로 손해가 발생했는지 여부가 중요시되었지만, 최고법원에서는, 손해의 유무에 관계없이 프라이버시의 침해가 있었다는 점에 대해 심리해야 한다는 판단이었습니다. 다른 정보 유출 사건에서도, 정보 유출에 기반한 손해배상 청구를 인정하는 경우가 많으며, 이 최고법원의 판결은 그러한 흐름에 따른 것으로 생각됩니다.
요약: 내부 통제 시스템에 대해 변호사에게 상담하십시오
회사나 조직의 건전한 경영을 위해서는, 내부 통제 시스템을 적절하게 구축하고 운영해야 합니다. 위탁받은 업체가 정보 유출 등의 보안 사고를 일으킨 경우에도, 위탁한 측이 책임을 물을 가능성이 있으며, 기업 이미지의 저하도 피할 수 없습니다. 이러한 상황을 피하기 위해서는, 위탁받은 업체에서도 내부 통제 시스템이 충분히 작동하도록 하는 체계를 미리 구축해두어야 합니다.
정보 보안 시스템의 구축을 포함한 내부 통제 시스템의 구축 및 운영에 대해서는, 변호사에게 상담하십시오.
당사의 대책 안내
모노리스 법률사무소는 IT, 특히 인터넷과 법률의 양면에 높은 전문성을 가진 법률사무소입니다. 내부 통제 시스템의 구축 및 운영에 대한 법률 검토의 필요성은 점점 증가하고 있습니다. 아래 기사에서 자세히 설명하고 있습니다.
모노리스 법률사무소의 취급 분야: IT 및 벤처기업 법률업무[ja]