Norsk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_no/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdager 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Risiko for datatap og juridisk ansvar for systemoperatører

Risiko for datatap og juridisk ansvar for systemoperatører

IT

Risiko for datatap og juridisk ansvar for systemoperatører

Det kan oppstå problemer i IT-avdelingen når viktig bedriftsinformasjon som er lagret i databasen, går tapt på grunn av uforutsette omstendigheter. I slike tilfeller, hvis systemdriften er outsourcet til en ekstern leverandør, er det juridisk mulig å holde denne leverandøren ansvarlig?

I denne artikkelen vil vi diskutere hvor det juridiske ansvaret ligger i tilfelle tap av informasjon i en bedrift.

Hva er “drift” i et IT-system?

“Drift” i et IT-system, for å si det veldig enkelt, kan beskrives som jobben med å “fortsette å bruke det eksisterende systemet som før”. Systemer som IT-ingeniører og programmerere har utviklet, er ikke noe som er ferdig når de først er laget. For eksempel, hvis du ønsker å utføre en operasjon som ikke kan utføres fra skjermsiden, kan det være nødvendig å koble en datamaskin til databasen og direkte legge inn datamaskinspråk (som SQL). Dette kan være for å trekke ut eller endre data som ikke kan utføres fra skjermsiden.

Disse driftsoppgavene er ofte lettere å standardisere, for eksempel ved å utarbeide prosedyrer, sammenlignet med jobber som å implementere nye programmer, og det er ofte lettere å outsource dem til eksterne leverandører.

Men selv om disse oppgavene er lette å standardisere, bør man huske at siden de involverer direkte manipulasjon av databasen som bedriften styrer, er de ofte i nærheten av store hendelser. Risikoen for lekkasje eller tap av informasjon som bedriften har, kan øke betydelig hvis man uten videre går videre med outsourcing uten å være oppmerksom på alvorligheten av ansvaret som følger med oppgavene.

Risikoen for tap av informasjon er nærmere enn du tror

Det finnes flere typer databaser som bedrifter bruker, men i realiteten er de en form for programvare. Behandlingen av data som administreres der, som utvinning, endring, tillegg og sletting, utføres hovedsakelig ved hjelp av et dataprogrammeringsspråk kalt SQL.

Betydningen av juridiske tjenester

Det er mange typer jobber for teknikere som jobber med IT-systemer, inkludert utvikling, drift og vedlikehold. Det som er felles for disse jobbene er at de hovedsakelig håndterer abstrakte ting som “data” og “dataprogrammeringsspråk”. Derfor kan selv en liten feil, som en feil knappetrykk eller en liten inntastingsfeil, ha en uforutsigbar og omfattende innvirkning. Dette grunnleggende prinsippet bør være kjent for alle som jobber med systemer, enten de er IT-spesialister eller ikke. Jobber som involverer systemer har en tendens til å ha en umiddelbar og omfattende innvirkning som går utover den aktuelle avdelingen og selskapets grenser når det oppstår et problem. Betydningen av juridiske tjenester for systemer kan forklares på en enhetlig måte fra både bestillerens og entreprenørens perspektiv.

Risikoen for tap av bedriftsdata

La oss ta et enkelt eksempel. En SQL-spørring (kommando) som sletter all data i en tabell er bare en linje: “TRUNCATE”. Når man tenker på risikoen for tap av bedriftsdata, er det kanskje ikke så viktig å ha en grundig forståelse av SQL-syntaks eller hvordan man bruker databasesoftware. Men det er viktig å være klar over at selv prosessen med å slette alle dataene et selskap lagrer kan være så enkel. Denne realitetsforståelsen kan være et utgangspunkt når man tenker på risikoen for tap av bedriftsdata.

Det er sant at driftsoppgaver ofte kan standardiseres, og det er ofte ingen problemer så lenge prosedyrene følges. Men samtidig, hvis prosedyrene ikke følges og det oppstår en uregelmessig situasjon, blir betydningen av juridiske tjenester tydelig.

Hvem har juridisk ansvar for tap av informasjon?

Hva er det juridiske ansvaret ved utilsiktet tap av data?

Den juridiske naturen til operatørens arbeid

Så, i tilfelle av utilsiktet tap av data på grunn av en hendelse, og det er ingen måte å gjenopprette det, hvor ligger det juridiske ansvaret? La oss analysere slike hendelser fra et juridisk perspektiv nedenfor.

Det er vanskelig å forfølge oppbevaringsplikten basert på innskuddsavtalen

En av de teoretiske konstruksjonene som kan vurderes når man stiller spørsmål ved ansvaret til en operatør som håndterer dataoperasjoner, er å forfølge plikten til forsvarlig forvaltning basert på en betalt innskuddsavtale. For å si det enkelt, dette er det samme som å forfølge erstatningsansvaret i prinsippet, som når en operatør som har mottatt innskudd av varer i betalte myntskap, for eksempel, har mistet disse varene. Det er et spørsmål om det er mulig å forfølge ansvaret for tap av “data”. Imidlertid, akkurat som diskusjonen om “oppbevaringsplikten for varer”, er det ikke realistisk å anta at “oppbevaringsplikten for data” oppstår naturlig under gjeldende lov.

Det avhenger av den individuelle kontraktsinnholdet

Til syvende og sist, spørsmålet om “hvem som har ansvaret for å lagre data” er det vanskelig å komme frem til en uniform løsning basert på bestemmelsene i den japanske sivilloven. Derfor er det rimelig å si at svaret avhenger av “hvordan det er bestemt i det individuelle kontraktsinnholdet”.

Og “hva var innholdet i kontrakten” er ikke nødvendigvis bare bestemt av kontrakten, men også av møtereferater og lignende. Viktigheten av møtereferater er forklart i detalj i artikkelen nedenfor.

https://monolith.law/corporate/the-minutes-in-system-development[ja]

Det er vanskelig å forfølge erstatningsansvar for ulovlige handlinger fra tredjeparter som ikke er kontraktsparter

Det er klart i rettspraksis at det er umulig å forfølge erstatningsansvar for ulovlige handlinger fra tredjeparter som ikke har en kontraktsrelasjon. I rettspraksis ble det diskutert om en bruker kunne kreve erstatning basert på ulovlige handlinger i tilfelle tap av data i en leid servertjeneste.

Typiske eksempler på ulovlige handlinger inkluderer for eksempel trafikkulykker. For eksempel, hvis en person blir skadet på grunn av en sjåførs uaktsomhet i en bilulykke, er han ansvarlig (ikke bare strafferettslig, men også sivilrettslig). Selv om det ikke er en kontrakt mellom fremmede om “ikke å treffe noen med en bil”, kan erstatningsansvar oppstå mellom private personer. Basert på denne rammen for ansvar for ulovlige handlinger, ble det diskutert om det var mulig å forfølge ansvar for tap av data, selv om motparten ikke hadde en direkte kontraktsrelasjon.

Imidlertid påpekte retten egenskapene til digital informasjon og indikerte at det er vanskelig å naturlig lede til eksistensen av slike forpliktelser.

En server er ikke feilfri og kan oppleve feil som fører til tap av lagrede programmer osv., men programmer osv. er digital informasjon som lett kan kopieres, og hvis brukeren har registrert og lagret dem, kan de gjenopprette programmene osv. selv om de går tapt, noe som er allment kjent (fra hele argumentet), så saksøkerne kunne lett ha tatt tiltak for å forhindre tap av programmet og dataene i denne saken. Gitt denne situasjonen for både saksøkerne og saksøkte, er det ingen grunn eller behov for å pålegge saksøkte, som installerer og administrerer serveren i denne saken, en forpliktelse til å forhindre tap av saksøkernes ovennevnte poster. (Utelatt), saksøkerne hevder at leiekontrakten for serveren har karakter av en deponeringskontrakt for tredjeparters programmer eller data, og at dette er grunnlaget for at saksøkte, som en utleier av servere, har en plikt til å utvise forsiktighet og spesifikt har en forpliktelse til å forhindre tap av poster på serveren i denne saken, og at saksøkte har brutt denne forpliktelsen til å forhindre tap ved å miste saksøkernes poster lagret på serveren i denne saken.


Imidlertid har saksøkte bare inngått en kontrakt om bruk av delt server hosting-tjeneste med bruker A, og det er ingen kontraktsrelasjon mellom saksøkte og saksøkerne, og det kan ikke sies at det er en deponeringskontrakt for programmet og dataene i denne saken lagret på serveren i denne saken, så det er vanskelig å finne grunnlag for at saksøkte har en plikt til å utvise forsiktighet under loven om ulovlige handlinger overfor saksøkerne, som saksøkte ikke har en kontraktsrelasjon med, med hensyn til postene lagret på serveren i denne saken. Derfor kan det ikke sies at saksøkte, bare fordi han er en utleier av servere, naturlig har en forpliktelse til å utvise forsiktighet eller en forpliktelse til å forhindre tap av poster lagret på serveren i denne saken i forhold til tredjeparter som han ikke har en kontraktsrelasjon med.

Tokyo District Court, May 20, 2009 (Heisei 21)

Denne dommen pekte på at det ikke er rimelig å anta en “forpliktelse til ikke å slette data” med hensyn til tredjeparter (saksøkerne) som ikke har en direkte kontraktsrelasjon. Denne dommen har trukket en viss oppmerksomhet som en potensiell ledende sak hvis lignende saker oppstår i fremtiden.

Konklusjonen er at det ofte kan være “vanskelig” å forfølge ansvar

I praksis, når det gjelder kontrakter som ofte brukes, er det ikke så mange tilfeller der kontrakter som gjør det til operatørens ansvar å lagre og sikkerhetskopiere data, blir brukt. Tvert imot, det er overveldende mange flere tilfeller der det er fastsatt at det er brukerens (det vil si kundens selskaps) ansvar.

Derfor, med mindre det er en spesiell avtale, vil det være svært vanskelig juridisk sett å anta at systemoperatøren har plikt til å ta tiltak for å forhindre tap av data.

Hvordan forberede seg på risikoen for tap av informasjon

Alltid ta backup for å forhindre tap av data.

I bunn og grunn, når det gjelder risikoen for tap av informasjon som en bedrift har, handler det også om informasjonen som bedriften selv lagrer. Derfor, hvordan man vurderer denne taprisikoen og hvilken lagringsstruktur man bygger, er noe bedriften selv bør bestemme, og det er høy sannsynlighet for at det vil bli slik.

Det er også mulig at selv om bedriftens ansvar er anerkjent, kan skadeerstatningen bli redusert på grunn av sammenlignende uaktsomhet. Det har vært rettssaker der saksøkte, som hadde lagret saksøkers data på serveren, slettet dataene, og det faktum at saksøkeren ikke hadde tatt backup ble ansett som “uaktsomhet”, og sammenlignende uaktsomhet ble anerkjent.

Saksøkeren kunne lett ha tatt backup av filinnholdet, og kunne ha forhindret skaden fra å oppstå, eller holdt skaden til et minimum, men det er anerkjent at saksøkeren ikke hadde noen datainnhold av filen på tidspunktet for ulykken.

I denne saken, når man bestemmer beløpet av saksøktes erstatningsansvar, bør man ta hensyn til dette punktet og anvende bestemmelsen om sammenlignende uaktsomhet, noe som er i tråd med prinsippet om rettferdighet i erstatningsloven.

På den annen side hevder saksøkeren at det var umulig for ham å forutse at filen ville bli slettet fra serveren av saksøkte, som er en internettleverandør, og at han ikke kunne ha forutsett det, så det er ikke mulig å anerkjenne en juridisk plikt til å ta backup, og hans unnlatelse kan ikke anses som uaktsomhet i juridisk forstand, og han hevder at anvendelsen av sammenlignende uaktsomhet bør nektes.

Imidlertid, når man anvender sammenlignende uaktsomhet, er det tilstrekkelig å anerkjenne at saksøkeren kunne ha forutsett at filen ville bli slettet, og det er ikke nødvendig å forutse at filen ville bli slettet som et resultat av saksøktes brudd på sin plikt til å være forsiktig.

I denne saken, er det klart at saksøkeren var klar over risikoen for at hackere kunne bryte seg inn på hjemmesiden, og saksøkeren anerkjenner at det er en risiko for at informasjon kan bli endret eller ødelagt i internett-kommunikasjon, og at denne risikoen var forutsigbar, så det er bestemt at saksøkeren kunne ha forutsett risikoen for at filen kunne bli slettet på grunn av årsaker som er spesifikke for internett-kommunikasjon, og det er fullt mulig å bekrefte at saksøkeren kunne ha forutsett at filen kunne bli slettet, og det er ingen hindring for å bekrefte anvendelsen av sammenlignende uaktsomhet.

Tokyo District Court, September 28, 2001 (Heisei 13)

I denne saken, “siden det ikke ble tatt backup, var det forutsigbart at filen kunne bli slettet av en eller annen grunn, som for eksempel inntrenging av hackere, og derfor er det anvendelse av sammenlignende uaktsomhet”, og beløpet av skadeerstatningen ble halvert.

Oppsummering

Selv om det ikke bare er begrenset til risikoen for tap av data, når systemarbeidet blir outsourcet, har brukerne en tendens til å bare bekymre seg for brukeropplevelsen på skjermen, og ofte strekker ikke organisasjonens styring seg til databasen som lagrer dataene i bakgrunnen.

Imidlertid, som tidligere rettsavgjørelser antyder, er det ikke noe vi kan ignorere som “noen andres problem”. Med andre ord, vi bør være klar over at det å etablere en administrasjonssystem som tar hensyn til risikoen for tap av informasjon, som å ta sikkerhetskopier, er i siste instans et problem på brukersiden (internt i selskapet).

Tidligere rettsavgjørelser antyder at å ikke forberede seg på slike risikoer kan føre til irreversible situasjoner, og vi bør forstå dette som en advarsel om behovet for forebygging.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Hva bør man være oppmerksom på ved verk som er merket med Creative Commons?

Hva bør man være oppmerksom på ved verk som er merket med Creative Commons?

IT

Stabile mynter også regulert! Forklaring av hovedpunktene i den reviderte japanske loven om betalingsmidler fra Reiwa 4 (2022)

Stabile mynter også regulert! Forklaring av hovedpunktene i den reviderte japanske loven om beta.

IT

En forklaring på anvendelsen av 'den japanske underleverandørloven' på systemutvikling og straff for brudd

En forklaring på anvendelsen av 'den japanske underleverandørloven' på systemutvikling og straff.

IT

Hva er forskjellen mellom STO og ICO? Forklaring av konseptet med sikkerhetstoken og betydningen av STO

Hva er forskjellen mellom STO og ICO? Forklaring av konseptet med sikkerhetstoken og betydningen.

IT

DAO (Desentralisert Autonom Organisasjon) og juridiske utfordringer i Japan

DAO (Desentralisert Autonom Organisasjon) og juridiske utfordringer i Japan

IT

Fair Use - hva er det? Amerikanske artister saksøker AI-selskaper for brudd på opphavsretten i gruppesøksmål

Fair Use - hva er det? Amerikanske artister saksøker AI-selskaper for brudd på opphavsretten i g.

IT

Hva er 'ansvar' i loven relatert til systemutvikling?

Hva er 'ansvar' i loven relatert til systemutvikling?

IT

For sikker bruk av SES-kontrakter - En forklaring på potensielle juridiske problemer

For sikker bruk av SES-kontrakter - En forklaring på potensielle juridiske problemer

IT

Risiko og tiltak forbundet med bruk av biblioteker i forretnings systemkonstruksjon

Risiko og tiltak forbundet med bruk av biblioteker i forretnings systemkonstruksjon

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection Personal Information Protection#Cross-border System Development Terms of Use

Weekly Popular Articles

Tilbake til toppen