{"id":61590,"date":"2023-12-08T20:55:33","date_gmt":"2023-12-08T11:55:33","guid":{"rendered":"https:\/\/monolith.law\/no\/?p=61590"},"modified":"2023-12-15T15:13:08","modified_gmt":"2023-12-15T06:13:08","slug":"internal-control-system","status":"publish","type":"post","link":"https:\/\/monolith.law\/no\/general-corporate\/internal-control-system","title":{"rendered":"Hvordan forhindre sikkerhetsproblemer hos underleverand\u00f8rer? En forklaring p\u00e5 oppbygging og drift av internkontrollsystemer hos bestilleren"},"content":{"rendered":"\n<p>Bedrifter er p\u00e5lagt \u00e5 etablere interne kontrollsystemer i henhold til den japanske selskapsloven (Companies Act) og den japanske loven om handel med finansielle instrumenter (Financial Instruments and Exchange Act). &#8220;Interne kontrollsystemer&#8221; kan virke komplisert, men for \u00e5 si det enkelt, er det et system for \u00e5 drive selskapets virksomhet p\u00e5 en passende m\u00e5te og forhindre risiko.<\/p>\n\n\n\n<p>S\u00e5, hvordan fungerer interne kontrollsystemer i forhold til eksterne handelspartnere? Spesielt blir det et problem fordi bedrifter ofte outsourcer forskjellige oppgaver som logistikk og vedlikehold til eksterne enheter.<\/p>\n\n\n\n<p>I denne artikkelen vil vi forklare om drift av interne kontrollsystemer hos tjenesteleverand\u00f8rer og tiltak for \u00e5 forhindre sikkerhetshendelser.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/no\/general-corporate\/internal-control-system\/#Hva_er_et_internt_kontrollsystem\" title=\"Hva er et internt kontrollsystem?\">Hva er et internt kontrollsystem?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/no\/general-corporate\/internal-control-system\/#Risiko_i_interne_kontrollsystemer_som_kan_oppsta_ved_outsourcing\" title=\"Risiko i interne kontrollsystemer som kan oppst\u00e5 ved outsourcing\">Risiko i interne kontrollsystemer som kan oppst\u00e5 ved outsourcing<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/no\/general-corporate\/internal-control-system\/#Internt_kontrollsystem_inkludert_outsourcingstyring_er_nodvendig\" title=\"Internt kontrollsystem inkludert outsourcingstyring er n\u00f8dvendig\">Internt kontrollsystem inkludert outsourcingstyring er n\u00f8dvendig<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/no\/general-corporate\/internal-control-system\/#Betydningen_av_interne_kontrollsystemer_laert_gjennom_eksempler\" title=\"Betydningen av interne kontrollsystemer l\u00e6rt gjennom eksempler\">Betydningen av interne kontrollsystemer l\u00e6rt gjennom eksempler<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/no\/general-corporate\/internal-control-system\/#Informasjonslekkasje_hos_den_japanske_pensjonsorganisasjonen\" title=\"Informasjonslekkasje hos den japanske pensjonsorganisasjonen\">Informasjonslekkasje hos den japanske pensjonsorganisasjonen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/no\/general-corporate\/internal-control-system\/#Personlig_informasjonslekkasje_hos_Benesse_Corporation\" title=\"Personlig informasjonslekkasje hos Benesse Corporation\">Personlig informasjonslekkasje hos Benesse Corporation<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/no\/general-corporate\/internal-control-system\/#Oppsummering_Konsulter_en_advokat_om_interne_kontrollsystemer\" title=\"Oppsummering: Konsulter en advokat om interne kontrollsystemer\">Oppsummering: Konsulter en advokat om interne kontrollsystemer<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/no\/general-corporate\/internal-control-system\/#Introduksjon_til_tiltakene_vare\" title=\"Introduksjon til tiltakene v\u00e5re\">Introduksjon til tiltakene v\u00e5re<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Hva_er_et_internt_kontrollsystem\"><\/span>Hva er et internt kontrollsystem?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/01\/shutterstock_2040715259.jpg\" alt=\"Hva er et internt kontrollsystem?\" class=\"wp-image-57124\" \/><\/figure>\n\n\n\n<p>Et internt kontrollsystem er organisatoriske midler og metoder som er n\u00f8dvendige for at bedrifter og organisasjoner skal kunne drive p\u00e5 en passende m\u00e5te. Dette er definert i b\u00e5de den japanske selskapsloven (&#8216;Japansk Selskapslov&#8217;) og den japanske finansielle instrumenter og b\u00f8rshandel loven (&#8216;Japansk Finansielle Instrumenter og B\u00f8rshandel Lov&#8217;).<\/p>\n\n\n\n<p>I henhold til den japanske selskapsloven, er f\u00f8lgende selskaper p\u00e5lagt \u00e5 etablere et internt kontrollsystem:<\/p>\n\n\n\n<ul>\n<li>Store selskaper<\/li>\n\n\n\n<li>Selskaper med nominasjonskomit\u00e9er<\/li>\n\n\n\n<li>Selskaper med revisjonskomit\u00e9er<\/li>\n<\/ul>\n\n\n\n<p>I tillegg p\u00e5legger den japanske finansielle instrumenter og b\u00f8rshandel loven b\u00f8rsnoterte selskaper \u00e5 etablere et internt kontrollsystem, og de m\u00e5 levere en intern kontrollrapport for hvert regnskaps\u00e5r. Denne interne kontrollrapporten m\u00e5 v\u00e6re sertifisert av en autorisert regnskapsf\u00f8rer eller et revisjonsfirma.<\/p>\n\n\n\n<p>Hvis det oppst\u00e5r skade som f\u00f8lge av mangler i det interne kontrollsystemet, som for eksempel informasjonslekkasje, kan selskapet og dets styremedlemmer v\u00e6re ansvarlige for erstatning. For mer informasjon om interne kontrollsystemer for informasjonsbeskyttelse, vennligst se artikkelen nedenfor.<\/p>\n\n\n\n<p>Relatert artikkel: <a href=\"https:\/\/monolith.law\/corporate\/company-regulations\" target=\"_blank\" rel=\"noreferrer noopener\" title=\"Forklaring av tiltak for \u00e5 forhindre informasjonslekkasje - Innholdet i selskapsregler som b\u00f8r etableres\">Forklaring av tiltak for \u00e5 forhindre informasjonslekkasje &#8211; Innholdet i selskapsregler som b\u00f8r etableres<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Risiko_i_interne_kontrollsystemer_som_kan_oppsta_ved_outsourcing\"><\/span>Risiko i interne kontrollsystemer som kan oppst\u00e5 ved outsourcing<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Selv om din bedrift har etablert egne informasjonssikkerhetsregler, kan det oppst\u00e5 sikkerhetshendelser hos leverand\u00f8ren hvis de ikke har etablert slike regler, eller hvis innholdet er utilstrekkelig.<\/p>\n\n\n\n<p>Hvis en sikkerhetshendelse oppst\u00e5r, selv om det var en ulykke hos leverand\u00f8ren, er det en risiko for at bildet av det oppdragsgivende selskapet, som har ansvaret for styringen, kan bli skadet.<\/p>\n\n\n\n<p>Derfor er det viktig \u00e5 etablere et system hos leverand\u00f8ren som forhindrer sikkerhetshendelser og lignende n\u00e5r du outsourcer arbeid.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Internt_kontrollsystem_inkludert_outsourcingstyring_er_nodvendig\"><\/span>Internt kontrollsystem inkludert outsourcingstyring er n\u00f8dvendig<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Basert p\u00e5 rettspraksis og lignende, er etablering av et informasjonssikkerhetssystem en av de viktige elementene i \u00e5 bygge et internt kontrollsystem.<\/p>\n\n\n\n<p>Hvis en bedrift eller organisasjon for\u00e5rsaker skade p\u00e5 en tredjepart p\u00e5 grunn av mangler i informasjonssikkerhetssystemet, kan styremedlemmer bli holdt ansvarlige for brudd p\u00e5 deres plikt til forsvarlig styring for \u00e5 ha fors\u00f8mt \u00e5 bygge et internt kontrollsystem. I tillegg, hvis det er mangler i informasjonssikkerhetssystemet til en outsourcet tjenesteleverand\u00f8r som for\u00e5rsaker skade p\u00e5 en tredjepart, kan det ogs\u00e5 v\u00e6re mulig at bedriften som outsourcer eller styremedlemmene blir holdt ansvarlige.<\/p>\n\n\n\n<p>Det er ikke bekreftet tilfeller der krav om erstatning basert p\u00e5 brudd p\u00e5 plikten til forsvarlig styring p\u00e5 grunn av brudd p\u00e5 plikten til \u00e5 bygge et internt kontrollsystem har blitt anerkjent mot styremedlemmer av outsourcere i tilfelle en sikkerhetshendelse p\u00e5 grunn av mangler i styringen hos outsourcet tjenesteleverand\u00f8r. Men det er mulig at s\u00f8ksm\u00e5l kan bli reist i fremtiden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Betydningen_av_interne_kontrollsystemer_laert_gjennom_eksempler\"><\/span>Betydningen av interne kontrollsystemer l\u00e6rt gjennom eksempler<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/01\/shutterstock_708636133.jpg\" alt=\"Tiltak som b\u00f8r tas ved ekstern outsourcing\" class=\"wp-image-57125\" \/><\/figure>\n\n\n\n<p>La oss se p\u00e5 hvilke tiltak som b\u00f8r tas n\u00e5r man outsourcer arbeid, basert p\u00e5 tidligere eksempler.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Informasjonslekkasje_hos_den_japanske_pensjonsorganisasjonen\"><\/span>Informasjonslekkasje hos den japanske pensjonsorganisasjonen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>I 2015 ble det bekreftet at personlig informasjon, som grunnpensjonsnummer og navn, hadde lekket ut fra den japanske pensjonsorganisasjonen p\u00e5 grunn av uautorisert tilgang.<\/p>\n\n\n\n<p>I denne forbindelse ble det opprettet en unders\u00f8kelseskommisjon for informasjonslekkasjen for\u00e5rsaket av uautorisert tilgang til den japanske pensjonsorganisasjonen (heretter kalt &#8220;unders\u00f8kelseskommisjonen&#8221;), og en unders\u00f8kelsesrapport datert 21. august 2015 (Heisei 27) som oppsummerer hendelsesforl\u00f8pet ble utarbeidet. If\u00f8lge denne rapporten ble LAN-systemet til den japanske pensjonsorganisasjonen angrepet, og en stor mengde personlig informasjon fra delte mapper lekket ut.<\/p>\n\n\n\n<p>Da systemet ble bygget, var det bestemt at personlig informasjon ikke skulle h\u00e5ndteres p\u00e5 LAN-systemet, men det ser ut til at personlig informasjon kunne bli lagt inn i delte mapper p\u00e5 LAN-systemet under visse forhold. I tillegg var ikke LAN-systemet til den japanske pensjonsorganisasjonen i stand til \u00e5 h\u00e5ndtere m\u00e5lrettede angrep, noe som f\u00f8rte til at det tok tid \u00e5 f\u00e5 oversikt over situasjonen etter at angrepet ble oppdaget.<\/p>\n\n\n\n<p>Unders\u00f8kelseskommisjonen har foresl\u00e5tt f\u00f8lgende tiltak for \u00e5 forhindre at dette skjer igjen:<\/p>\n\n\n\n<ul>\n<li>Organisasjonsutvikling (etablering av en sikkerhetsavdeling, etc.)<\/li>\n\n\n\n<li>Utvikling av tilsynssystemet i Helsedepartementet (utvikling av informasjonssikkerhetssystemet i Helsedepartementet, etc.)<\/li>\n\n\n\n<li>Teknisk utvikling (systemutvikling basert p\u00e5 virkelige forretningsforhold og risiko, etc.)<\/li>\n\n\n\n<li>Endring av holdninger i den japanske pensjonsorganisasjonen<\/li>\n<\/ul>\n\n\n\n<p>De har ogs\u00e5 p\u00e5pekt at det bare var en generell avtale om informasjonssikkerhet mellom dem og deres kontraktspartner, og at det ikke var noen klar avtale om spesifikke tiltak i tilfelle en hendelse, noe som f\u00f8rte til forsinkelser i responsen og st\u00f8rre skade. (Kilde: Helsedepartementet, &#8220;<a href=\"https:\/\/www.mhlw.go.jp\/file\/05-Shingikai-10201000-Daijinkanbousoumuka-Soumuka\/0000095309.pdf\" target=\"_blank\" rel=\"noreferrer noopener\" title=\"Rapport datert 21. august, Heisei 27\">Rapport datert 21. august, Heisei 27<\/a>&#8220;)<\/p>\n\n\n\n<p>For \u00e5 forhindre slike situasjoner, vil det v\u00e6re n\u00f8dvendig \u00e5:<\/p>\n\n\n\n<ul>\n<li>Inng\u00e5 en service level agreement (SLA) med spesifikke detaljer<\/li>\n\n\n\n<li>Ha en klar avtale om at kontraktspartneren vil h\u00e5ndtere n\u00f8dsituasjoner<\/li>\n<\/ul>\n\n\n\n<p>En service level agreement (SLA) er en kontrakt mellom tjenesteleverand\u00f8ren og mottakeren som avtaler kvaliteten, anvendelsesomr\u00e5det, mottaksmetoden, ansvar og kostnader for tjenesten. Ved \u00e5 ha en forh\u00e5ndsavtale om responsen ved en hendelse, blir det mulig \u00e5 reagere raskt og hensiktsmessig.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Personlig_informasjonslekkasje_hos_Benesse_Corporation\"><\/span>Personlig informasjonslekkasje hos Benesse Corporation<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>I 2014 skjedde det en lekkasje av personlig informasjon hos Benesse Corporation. Dette skjedde da en ansatt hos en underleverand\u00f8r kopierte kundedata og solgte det til en listeoperat\u00f8r, noe som resulterte i at omtrent 29,89 millioner kundeinformasjonsenheter ble lekket.<\/p>\n\n\n\n<p>\u00c5rsaken til denne hendelsen kan tilskrives det faktum at til tross for at dataadgangsrettigheter ble gitt til underleverand\u00f8rer og deres underleverand\u00f8rer, var det ikke et tilstrekkelig overv\u00e5kningssystem for \u00e5 forhindre informasjonslekkasje.<\/p>\n\n\n\n<p>Mulige mottiltak inkluderer:<\/p>\n\n\n\n<ul>\n<li>Definere omfanget av arbeid og tilgang til informasjon for underleverand\u00f8rer i kontrakten<\/li>\n\n\n\n<li>Gjennomf\u00f8ring av regelmessige revisjoner av underleverand\u00f8rer<\/li>\n\n\n\n<li>P\u00e5legge underleverand\u00f8rer en rapporteringsplikt om overv\u00e5kningssystemet<\/li>\n\n\n\n<li>Bestemme hvem som skal h\u00e5ndtere viktig informasjon hos underleverand\u00f8rer og gjennomf\u00f8re en vurdering<\/li>\n<\/ul>\n\n\n\n<p>Etter hendelsen saks\u00f8kte en av kundene Benesse Corporation, tjenesteleverand\u00f8ren, for 100 000 yen i erstatning for lekkasjen av hans og hans barns personlige informasjon i denne hendelsen.<\/p>\n\n\n\n<p>Kunden tapte i b\u00e5de f\u00f8rste og andre instans, men i en h\u00f8yesterettsavgj\u00f8relse datert 23. oktober 2017 (Heisei 29), ble det bestemt at:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>&#8220;Det var upassende \u00e5 avvise appellanten sin foresp\u00f8rsel umiddelbart bare fordi det ikke var noen p\u00e5stander eller bevis for skade utover ubehag, uten \u00e5 unders\u00f8ke tilstrekkelig om det var noen psykisk skade p\u00e5 appellanten p\u00e5 grunn av krenkelse av personvernet.&#8221;<\/p>\n<cite><a href=\"https:\/\/www.courts.go.jp\/app\/files\/hanrei_jp\/154\/087154_hanrei.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Skadeerstatningssak nr. 1892 (mottatt) i 2016, H\u00f8yesterettsdom 23. oktober 2017 (Heisei 29)<\/a><\/cite><\/blockquote>\n\n\n\n<p>Dermed ble dommen i andre instans opphevet, og saken ble sendt tilbake til Osaka High Court for ny behandling.<\/p>\n\n\n\n<p>Den 20. november 2019 anerkjente Osaka High Court krenkelse av personvernet og beordret Benesse Corporation til \u00e5 betale 1 000 yen.<\/p>\n\n\n\n<p>I b\u00e5de f\u00f8rste og andre instans ble det lagt vekt p\u00e5 ikke bare krenkelse av personvernet, men ogs\u00e5 om det faktisk hadde oppst\u00e5tt skade. Imidlertid var H\u00f8yesteretts avgj\u00f8relse at det skulle vurderes om det hadde v\u00e6rt en krenkelse av personvernet, uavhengig av om det hadde oppst\u00e5tt skade. I andre tilfeller av informasjonslekkasje er det mange tilfeller der krav om erstatning basert p\u00e5 informasjonslekkasje er anerkjent, og det antas at denne H\u00f8yesteretts avgj\u00f8relsen f\u00f8lger denne trenden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Oppsummering_Konsulter_en_advokat_om_interne_kontrollsystemer\"><\/span>Oppsummering: Konsulter en advokat om interne kontrollsystemer<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>For sunn drift av selskaper og organisasjoner, er det n\u00f8dvendig \u00e5 riktig bygge og drive interne kontrollsystemer. Selv om en tredjepart for\u00e5rsaker en sikkerhetshendelse som informasjonslekkasje, kan oppdragsgiveren bli holdt ansvarlig, og det er umulig \u00e5 unng\u00e5 en nedgang i bedriftens image. For \u00e5 unng\u00e5 slike situasjoner, m\u00e5 du p\u00e5 forh\u00e5nd bygge et system der det interne kontrollsystemet fungerer tilstrekkelig hos tredjeparten.<\/p>\n\n\n\n<p>Vennligst konsulter en advokat om bygging og drift av interne kontrollsystemer, inkludert etablering av informasjonssikkerhetssystemer.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Introduksjon_til_tiltakene_vare\"><\/span>Introduksjon til tiltakene v\u00e5re<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Monolith Law Office er et advokatfirma med h\u00f8y ekspertise innen IT, spesielt internett og jus. Behovet for juridisk sjekk av oppbygging og drift av interne kontrollsystemer \u00f8ker stadig. Detaljer er beskrevet i artikkelen nedenfor.<\/p>\n\n\n\n<p>Monolith Law Office&#8217;s praksisomr\u00e5der: <a href=\"https:\/\/monolith.law\/practices\/corporate\" target=\"_blank\" rel=\"noreferrer noopener\" title=\"IT og oppstartsselskapers forretningsjus\">IT og oppstartsselskapers forretningsjus<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bedrifter er p\u00e5lagt \u00e5 etablere interne kontrollsystemer i henhold til den japanske selskapsloven (Companies Act) og den japanske loven om handel med finansielle instrumenter (Financial Instruments and [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":62349,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[24,29],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts\/61590"}],"collection":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/comments?post=61590"}],"version-history":[{"count":2,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts\/61590\/revisions"}],"predecessor-version":[{"id":62348,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts\/61590\/revisions\/62348"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/media\/62349"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/media?parent=61590"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/categories?post=61590"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/tags?post=61590"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}