Bagaimana untuk Mencegah Insiden Keselamatan di Tempat Kerja yang Dikendalikan? Penjelasan tentang Pembinaan dan Operasi Sistem Kawalan Dalaman oleh Pemberi Perintah
Bagi syarikat, pembinaan sistem kawalan dalaman diwajibkan oleh undang-undang syarikat Jepun (Japanese Companies Act) dan undang-undang perdagangan produk kewangan Jepun (Japanese Financial Instruments and Exchange Act). “Sistem kawalan dalaman” mungkin terdengar rumit, tetapi secara ringkas, ia adalah sistem yang ditubuhkan untuk mengendalikan operasi syarikat dengan betul dan mencegah risiko.
Jadi, bagaimana sistem kawalan dalaman berfungsi dalam hubungan dengan pihak luar? Terutamanya, menjadi isu kerana syarikat sering menghantar pelbagai tugas seperti logistik dan penyelenggaraan kepada pihak luar.
Artikel ini akan menerangkan tentang operasi sistem kawalan dalaman di tempat yang ditugaskan dan langkah-langkah untuk mencegah insiden keselamatan.
Apa itu Sistem Kawalan Dalaman
Sistem kawalan dalaman merujuk kepada cara dan kaedah organisasi yang diperlukan oleh syarikat atau organisasi untuk menjalankan pengurusan yang sesuai, yang didefinisikan dalam Undang-Undang Syarikat Jepun (Japanese Companies Act) dan Undang-Undang Transaksi Instrumen Kewangan Jepun (Japanese Financial Instruments and Exchange Act).
Menurut Undang-Undang Syarikat Jepun, syarikat-syarikat berikut diwajibkan untuk membina sistem kawalan dalaman:
- Syarikat besar
- Syarikat yang menubuhkan Jawatankuasa Penamaan dan sebagainya
- Syarikat yang menubuhkan Jawatankuasa Audit dan sebagainya
Selain itu, menurut Undang-Undang Transaksi Instrumen Kewangan Jepun, syarikat tersenarai diwajibkan untuk membina sistem kawalan dalaman dan perlu mengemukakan laporan kawalan dalaman setiap tahun kewangan. Laporan kawalan dalaman ini perlu disahkan oleh akauntan berlesen atau firma audit.
Jika kerugian berlaku akibat kelemahan dalam sistem kawalan dalaman seperti kebocoran maklumat, syarikat dan pengarahnya mungkin bertanggungjawab untuk ganti rugi. Untuk maklumat lanjut mengenai sistem kawalan dalaman yang berkaitan dengan perlindungan maklumat, sila rujuk artikel berikut.
Artikel Berkaitan: Menerangkan langkah-langkah pencegahan kebocoran maklumat dan kandungan peraturan dalaman yang perlu disediakan
Risiko dalam Sistem Kawalan Dalaman yang Mungkin Berlaku Semasa Penyerahan Tugas
Walaupun syarikat anda telah menetapkan peraturan berkaitan dengan keselamatan maklumat, jika pihak yang diberi tugas tidak menetapkan peraturan tersebut atau jika kandungannya tidak mencukupi, terdapat kemungkinan insiden keselamatan akan berlaku di pihak yang diberi tugas.
Jika insiden keselamatan berlaku, walaupun ia adalah kejadian di pihak yang diberi tugas, terdapat risiko bahawa imej syarikat yang memberi tugas dan mempunyai tanggungjawab pengurusan akan menurun.
Oleh itu, semasa penyerahan tugas, adalah penting untuk membina sistem yang tidak akan menyebabkan insiden keselamatan dan sebagainya di pihak yang diberi tugas.
Sistem Kawalan Dalaman Termasuk Pengurusan Pemberian Tugasan Diperlukan
Mengambil kira dari kes-kes terdahulu, pembangunan sistem keselamatan maklumat adalah salah satu elemen penting dalam membina sistem kawalan dalaman.
Jika terdapat kelemahan dalam sistem keselamatan maklumat yang menyebabkan syarikat atau organisasi memberi kerugian kepada pihak ketiga, pengarah mungkin dipertanggungjawabkan atas pelanggaran kewajipan berjaga-jaga yang baik kerana gagal membina sistem kawalan dalaman. Selain itu, jika terdapat kelemahan dalam sistem keselamatan maklumat pemberi tugasan yang menyebabkan kerugian kepada pihak ketiga, syarikat atau pengarah yang memberi tugasan juga mungkin dipertanggungjawabkan.
Walau bagaimanapun, walaupun terdapat kelemahan dalam pengurusan pemberi tugasan yang menyebabkan insiden keselamatan, belum ada kes yang mengesahkan tuntutan pampasan kerugian berdasarkan pelanggaran kewajipan berjaga-jaga yang baik kerana pelanggaran kewajipan membina sistem kawalan dalaman terhadap pengarah dan sebagainya. Namun, di masa hadapan, kemungkinan ada tuntutan undang-undang yang akan diajukan.
Pentingnya Sistem Kawalan Dalaman Melalui Contoh Kes
Di sini, kita akan melihat langkah-langkah yang perlu diambil semasa melaksanakan outsourcing, berdasarkan contoh kes dari masa lalu.
Kes Kebocoran Maklumat di Jepun Nenkin Kikou (Badan Pencen Jepun)
Pada tahun 2015, kebocoran maklumat akibat akses tidak sah telah berlaku di Jepun Nenkin Kikou, dan kebocoran maklumat peribadi seperti nombor pencen asas dan nama telah disahkan.
Mengenai perkara ini, Jawatankuasa Pengesahan Kes Kebocoran Maklumat Akibat Akses Tidak Sah di Jepun Nenkin Kikou (selanjutnya disebut sebagai Jawatankuasa Pengesahan) telah ditubuhkan, dan laporan pengesahan bertarikh 21 Ogos 2015 (2015) yang merangkumi latar belakang dan sebagainya telah dibuat. Menurut laporan ini, sistem LAN Jepun Nenkin Kikou telah diserang, dan sejumlah besar maklumat peribadi dalam folder kongsi telah bocor.
Semasa membina sistem, ia sepatutnya tidak mengendalikan maklumat peribadi di atas sistem LAN, tetapi rupanya maklumat peribadi telah dimasukkan ke dalam folder kongsi di atas sistem LAN di bawah syarat-syarat tertentu. Selain itu, sistem LAN Jepun Nenkin Kikou tidak beroperasi untuk menangani serangan sasaran, jadi mengambil masa untuk memahami situasi walaupun mereka menyedari serangan tersebut.
Jawatankuasa Pengesahan telah mencadangkan langkah-langkah pencegahan berulang seperti:
- Pembinaan struktur manusia (penubuhan Pusat Tindakan Keselamatan dan lain-lain)
- Pembinaan struktur pengawasan Kementerian Kesejahteraan dan Buruh (pembinaan struktur keselamatan maklumat Kementerian Kesejahteraan dan Buruh dan lain-lain)
- Pembinaan teknikal (pembinaan sistem berdasarkan realiti dan risiko kerja dan lain-lain)
- Perubahan kesedaran di Jepun Nenkin Kikou
Sebagai contoh.
Selain itu, hanya ada persetujuan umum mengenai perlindungan keselamatan maklumat antara pihak yang diberi tugas, dan tidak ada persetujuan yang jelas mengenai tindakan khusus apabila insiden berlaku, jadi tindakan lambat dan kerugian menjadi lebih besar. (Sumber: Kementerian Kesejahteraan dan Buruh, “Laporan Pengesahan Bertarikh 21 Ogos Heisei 27 (2015)“)
Untuk mengelakkan situasi seperti ini,
- Mengadakan Perjanjian Tahap Perkhidmatan dengan kandungan yang konkrit
- Menyepakati dengan jelas bahawa pihak yang diberi tugas akan bertindak dalam keadaan kecemasan
mungkin diperlukan.
Perjanjian Tahap Perkhidmatan (Service Level Agreement, SLA) adalah kontrak yang disepakati antara pihak yang menyediakan perkhidmatan dan pihak yang menerima perkhidmatan mengenai kualiti perkhidmatan, skop aplikasi, cara penerimaan, tanggungjawab dan kos. Selain itu, dengan menyepakati tindakan semasa insiden berlaku sebelumnya, adalah mungkin untuk mengambil tindakan yang cepat dan tepat.
Kes Kebocoran Maklumat Peribadi di Benesse Corporation
Pada tahun 2014, kes kebocoran maklumat peribadi telah berlaku di Benesse Corporation. Ini berlaku apabila seorang pekerja dari syarikat yang diberi kontrak telah menyalin data pelanggan dan menjualnya kepada penjual senarai, menyebabkan hampir 29.89 juta maklumat pelanggan bocor.
Sebagai punca kes ini, walaupun hak akses data telah diberikan kepada syarikat yang diberi kontrak dan syarikat yang diberi kontrak sekali lagi, tidak ada sistem pemantauan yang mencukupi untuk mencegah kebocoran maklumat.
Sebagai langkah-langkah pencegahan, kita boleh mempertimbangkan:
- Mendefinisikan secara jelas lingkup kerja dan akses ke maklumat untuk syarikat yang diberi kontrak dalam kontrak
- Melaksanakan audit berkala kepada syarikat yang diberi kontrak
- Memberi kewajipan laporan mengenai sistem pemantauan kepada syarikat yang diberi kontrak
- Menentukan individu yang akan mengendalikan maklumat penting di syarikat yang diberi kontrak dan melakukan penilaian
Seorang pelanggan kemudian telah membawa kes ini ke mahkamah, menuntut ganti rugi sebanyak 100,000 yen dari Benesse Corporation atas kebocoran maklumat peribadi dirinya dan anaknya dalam insiden ini.
Walaupun pelanggan tersebut telah kalah dalam perbicaraan pertama dan kedua, menurut keputusan Mahkamah Agung pada 23 Oktober 2017 (Heisei 29),
“Keputusan untuk menolak tuntutan penggugat segera hanya berdasarkan fakta bahawa tidak ada bukti atau dakwaan bahawa kerugian yang melebihi rasa tidak selesa telah berlaku tanpa mempertimbangkan secara memadai sama ada ada kerugian mental penggugat akibat pelanggaran privasi dan sejauh mana.”
Keputusan Kecil Kedua pada 23 Oktober 2017 (Heisei 29) dalam Kes Tuntutan Ganti Rugi No. 1892 (Heisei 28)
Keputusan perbicaraan kedua telah dibatalkan dan kes tersebut telah dikembalikan ke Mahkamah Tinggi Osaka untuk dipertimbangkan semula.
Pada 20 November 2019, Mahkamah Tinggi Osaka mengakui pelanggaran privasi dan memerintahkan Benesse Corporation untuk membayar 1,000 yen.
Dalam perbicaraan pertama dan kedua, bukan sahaja pelanggaran privasi, tetapi juga sama ada kerugian sebenar telah berlaku atau tidak telah diberi penekanan. Namun, di Mahkamah Agung, keputusannya adalah bahawa pelanggaran privasi harus dipertimbangkan tanpa mengira sama ada ada kerugian atau tidak. Dalam banyak kes kebocoran maklumat lain, terdapat banyak kes di mana tuntutan ganti rugi berdasarkan kebocoran maklumat diakui, dan keputusan Mahkamah Agung ini dianggap sejajar dengan trend tersebut.
Rumusan: Sila rujuk kepada peguam berkenaan sistem kawalan dalaman
Untuk pengurusan yang sihat dalam syarikat atau organisasi, adalah penting untuk membina dan mengendalikan sistem kawalan dalaman dengan betul. Walaupun jika pihak yang diberi tugas menyebabkan insiden keselamatan seperti kebocoran maklumat, masih ada kemungkinan pihak yang memberi tugas akan dipertanggungjawabkan, dan tidak dapat mengelakkan penurunan imej syarikat. Untuk mengelakkan situasi seperti ini, anda perlu membina mekanisme yang memastikan sistem kawalan dalaman berfungsi dengan baik di pihak yang diberi tugas.
Sila rujuk kepada peguam berkenaan pembinaan dan pengendalian sistem kawalan dalaman, termasuk penyediaan sistem keselamatan maklumat.
Panduan Mengenai Langkah-langkah yang Diambil oleh Firma Kami
Firma undang-undang Monolith adalah sebuah firma undang-undang yang memiliki kepakaran tinggi dalam bidang IT, khususnya internet dan undang-undang. Keperluan untuk pemeriksaan undang-undang berkaitan dengan pembinaan dan pengendalian sistem kawalan dalaman semakin meningkat. Butiran lanjut dinyatakan dalam artikel di bawah.
Bidang yang ditangani oleh Firma Undang-Undang Monolith: Undang-undang Korporat untuk IT dan Perniagaan Venture