Jak zapobiegać incydentom bezpieczeństwa u dostawców? Wyjaśnienie budowy i działania systemu kontroli wewnętrznej zamawiającego
Firmy są zobowiązane do budowy systemu kontroli wewnętrznej na mocy japońskiego Prawa o Spółkach (Japanese Company Law) i japońskiego Prawa o Transakcjach Instrumentami Finansowymi (Japanese Financial Instruments and Exchange Law). “System kontroli wewnętrznej” może wydawać się skomplikowany, ale mówiąc prosto, jest to struktura służąca do prawidłowego prowadzenia działalności firmy i zapobiegania ryzyku.
Jak więc system kontroli wewnętrznej funkcjonuje w relacjach z zewnętrznymi partnerami handlowymi? Szczególnie problematyczne jest to, że firmy często zlecają różne zadania, takie jak logistyka i konserwacja, podmiotom zewnętrznym.
W tym artykule omówimy działanie systemu kontroli wewnętrznej u podmiotów zlecających oraz środki zapobiegające incydentom związanym z bezpieczeństwem.
Co to jest system kontroli wewnętrznej?
System kontroli wewnętrznej to organizacyjne środki i metody niezbędne dla prawidłowego zarządzania firmą lub organizacją, które są zdefiniowane zarówno w japońskim Prawie Spółek (Japońskie Prawo Spółek), jak i w japońskim Prawie o Instrumentach Finansowych (Japońskie Prawo o Instrumentach Finansowych).
Według Prawa Spółek, następujące firmy są zobowiązane do wdrożenia systemu kontroli wewnętrznej:
- Duże firmy
- Firmy z komitetem nominacyjnym
- Firmy z komitetem audytorskim
Z kolei Prawo o Instrumentach Finansowych nakłada na spółki giełdowe obowiązek wdrożenia systemu kontroli wewnętrznej i składania rocznych raportów z kontroli wewnętrznej. Te raporty muszą być certyfikowane przez biegłego rewidenta lub firmę audytorską.
Jeśli w wyniku braku systemu kontroli wewnętrznej dojdzie do wycieku informacji lub innych szkód, firma lub jej dyrektorzy mogą ponieść odpowiedzialność odszkodowawczą. Szczegółowe informacje na temat systemu kontroli wewnętrznej dotyczącego ochrony informacji można znaleźć w poniższym artykule.
Artykuł powiązany: Jak zapobiegać wyciekom informacji – co powinno zawierać wewnętrzne przepisy firmy[ja]
Ryzyko związane z systemem kontroli wewnętrznej podczas zlecania zadań
Nawet jeśli Twoja firma ustaliła własne przepisy dotyczące bezpieczeństwa informacji, istnieje ryzyko incydentu bezpieczeństwa u podmiotu, któremu zlecono zadanie, jeśli nie ustalił on takich przepisów lub jeśli są one niewystarczające.
W przypadku wystąpienia incydentu bezpieczeństwa, nawet jeśli doszło do niego u podmiotu, któremu zlecono zadanie, istnieje ryzyko, że obraz firmy zlecającej, która ma odpowiedzialność za zarządzanie, ulegnie pogorszeniu.
Dlatego ważne jest, aby podczas zlecania zadań zbudować strukturę, która zapobiegnie incydentom bezpieczeństwa u podmiotu, któremu zlecono zadanie.
Potrzebny jest system kontroli wewnętrznej, obejmujący zarządzanie podmiotami zlecającymi
Na podstawie orzecznictwa i innych źródeł, rozwój systemu bezpieczeństwa informacji jest jednym z kluczowych elementów budowy systemu kontroli wewnętrznej.
Jeśli firma lub organizacja spowoduje szkodę dla osób trzecich z powodu braków w systemie bezpieczeństwa informacji, zarówno dyrektorzy mogą być pociągnięci do odpowiedzialności za naruszenie obowiązku należytej staranności, jak i za zaniedbanie obowiązku budowy systemu kontroli wewnętrznej. Ponadto, jeśli braki w systemie bezpieczeństwa informacji podmiotu zlecającego spowodują szkodę dla osób trzecich, możliwe jest również pociągnięcie do odpowiedzialności firmy zlecającej lub jej dyrektorów.
Chociaż nie ma potwierdzonych przypadków, w których roszczenia o odszkodowanie na podstawie naruszenia obowiązku należytej staranności z powodu naruszenia obowiązku budowy systemu kontroli wewnętrznej byłyby uznane wobec dyrektorów zlecających w przypadku wystąpienia incydentu bezpieczeństwa spowodowanego brakami w zarządzaniu podmiotem zlecającym, można przypuszczać, że w przyszłości możliwe będzie wszczęcie procesu sądowego.
Znaczenie wewnętrznego systemu kontroli na przykładach
Przyjrzyjmy się, jakie środki należy podjąć podczas zlecania prac, biorąc pod uwagę doświadczenia z przeszłości.
Przypadek wycieku informacji w Japońskiej Organizacji Emerytalnej
W 2015 roku (rok 2015 według kalendarza gregoriańskiego) w Japońskiej Organizacji Emerytalnej doszło do wycieku informacji spowodowanego nieautoryzowanym dostępem, potwierdzono wyciek danych osobowych, takich jak numery podstawowego ubezpieczenia emerytalnego i nazwiska.
W związku z tym incydentem powołano Komisję do Zbadania Wycieku Informacji w Japońskiej Organizacji Emerytalnej (zwanej dalej “Komisją”), która sporządziła raport z dnia 21 sierpnia 2015 roku, opisujący przebieg wydarzeń. Według tego raportu, system LAN Japońskiej Organizacji Emerytalnej został zaatakowany, co doprowadziło do wycieku dużej ilości danych osobowych z folderu współdzielonego.
Podczas budowy systemu, ustalono, że na systemie LAN nie będą przetwarzane dane osobowe, jednak okazało się, że pod pewnymi warunkami dane osobowe mogły być umieszczane w folderze współdzielonym na systemie LAN. Ponadto, system LAN Japońskiej Organizacji Emerytalnej nie był przygotowany do radzenia sobie z atakami typu spear phishing, co spowodowało, że zrozumienie sytuacji po wykryciu ataku zajęło dużo czasu.
Komisja jako środki zapobiegawcze wymieniła:
- Utworzenie struktury personalnej (utworzenie głównego departamentu ds. bezpieczeństwa)
- Utworzenie struktury nadzorczej Ministerstwa Zdrowia, Pracy i Opieki Społecznej (utworzenie struktury bezpieczeństwa informacji w Ministerstwie Zdrowia, Pracy i Opieki Społecznej)
- Utworzenie struktury technicznej (utworzenie systemu opartego na rzeczywistych warunkach pracy i ryzyku)
- Zmiana świadomości w Japońskiej Organizacji Emerytalnej
Podkreślono to.
Ponadto, między zleceniodawcą a zleceniobiorcą doszło tylko do ogólnego porozumienia dotyczącego ochrony bezpieczeństwa informacji, a nie było jasnego porozumienia dotyczącego konkretnych działań w przypadku rzeczywistego incydentu, co spowodowało opóźnienia w reakcji i zwiększenie szkód. (Źródło: Ministerstwo Zdrowia, Pracy i Opieki Społecznej “Raport z dnia 21 sierpnia 2015 roku[ja]“)
Aby zapobiec takim sytuacjom, konieczne będzie:
- Zawarcie konkretnego porozumienia dotyczącego poziomu usług
- Jasne porozumienie, że zleceniobiorca będzie reagować w sytuacjach awaryjnych
Service Level Agreement (SLA) to umowa zawierana między dostawcą usług a odbiorcą, określająca jakość usług, zakres zastosowania, sposób odbioru, odpowiedzialność i koszty. Ponadto, wcześniejsze porozumienie dotyczące reakcji na incydenty umożliwia szybkie i odpowiednie działanie.
Przypadek wycieku danych osobowych w Benesse Corporation
W 2014 roku (rok 2014 według kalendarza gregoriańskiego) doszło do wycieku danych osobowych w Benesse Corporation. Pracownik zleceniobiorcy skopiował dane klientów i sprzedał je firmie zajmującej się listami mailingowymi, co doprowadziło do wycieku około 29,89 miliona danych klientów.
Jako przyczynę tego incydentu podaje się brak odpowiedniego systemu monitorowania, mimo że dostęp do danych został udzielony nie tylko zleceniobiorcom, ale także podzleceniobiorcom.
Jako środki zaradcze można rozważyć:
- Zdefiniowanie zakresu pracy i dostępu do informacji zleceniobiorcy w umowie
- Przeprowadzanie regularnych audytów zleceniobiorców
- Nakładanie na zleceniobiorców obowiązku raportowania dotyczącego systemu monitorowania
- Wybór osób, które będą miały dostęp do ważnych informacji u zleceniobiorcy i przeprowadzanie przeglądów
Jeden z klientów wszczął proces przeciwko Benesse Corporation, żądając odszkodowania w wysokości 100 000 jenów za wyciek jego i swojego dziecka danych osobowych w tym incydencie.
W pierwszej i drugiej instancji klient przegrał, ale wyrok Sądu Najwyższego z dnia 23 października 2017 roku (rok 2017 według kalendarza gregoriańskiego) stwierdził, że:
“Nie przeprowadzono wystarczającego dochodzenia w sprawie istnienia i stopnia szkód psychicznych powoda spowodowanych naruszeniem prywatności, a jedynie stwierdzono, że nie udowodniono twierdzeń i dowodów na wystąpienie szkód przekraczających dyskomfort, co powinno natychmiast doprowadzić do odrzucenia roszczeń powoda”
Sprawa o odszkodowanie nr 1892 z roku 2016, wyrok z dnia 23 października 2017 roku, Druga Mała Izba[ja]
co doprowadziło do unieważnienia wyroku drugiej instancji i odesłania sprawy do Sądu Apelacyjnego w Osace.
20 listopada 2019 roku Sąd Apelacyjny w Osace uznał naruszenie prywatności i nakazał Benesse Corporation zapłatę 1 000 jenów.
W pierwszej i drugiej instancji uwzględniano nie tylko naruszenie prywatności, ale także kwestię, czy faktycznie doszło do szkód. Jednak Sąd Najwyższy orzekł, że należy zbadać kwestię naruszenia prywatności, niezależnie od tego, czy doszło do szkód. W innych przypadkach wycieku informacji, często uznawano roszczenia o odszkodowanie za wyciek informacji, a ten wyrok Sądu Najwyższego jest zgodny z tym trendem.
Podsumowanie: Skonsultuj się z prawnikiem na temat systemu kontroli wewnętrznej
Dla zdrowego zarządzania firmą lub organizacją, konieczne jest odpowiednie budowanie i prowadzenie systemu kontroli wewnętrznej. Nawet jeśli to podmiot zlecający spowoduje incydent związany z bezpieczeństwem, tak jak wyciek informacji, istnieje możliwość, że zleceniodawca zostanie pociągnięty do odpowiedzialności, a wizerunek firmy może ulec pogorszeniu. Aby uniknąć takiej sytuacji, musisz z góry zbudować system, który zapewni, że system kontroli wewnętrznej będzie działał prawidłowo również u podmiotu zlecającego.
Proszę skonsultować się z prawnikiem na temat budowy i prowadzenia systemu kontroli wewnętrznej, w tym systemu bezpieczeństwa informacji.
Informacje o środkach podjętych przez naszą kancelarię
Kancelaria prawna Monolith to firma specjalizująca się w prawie IT, zwłaszcza w aspekcie internetowym. Coraz bardziej rośnie potrzeba przeprowadzania legalnych kontroli w zakresie budowy i zarządzania systemami kontroli wewnętrznej. Szczegóły znajdują się w poniższym artykule.
Zakres usług Kancelarii Prawnej Monolith: Prawo korporacyjne dla IT i startupów[ja]