Português English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_pt/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Dias da semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Como prevenir incidentes de segurança em contratados? Explicação sobre a construção e operação do sistema de controle interno do cliente

Como prevenir incidentes de segurança em contratados? Explicação sobre a construção e operação do sistema de controle interno do cliente

General Corporate

Como prevenir incidentes de segurança em contratados? Explicação sobre a construção e operação do sistema de controle interno do cliente

As empresas são obrigadas a estabelecer um sistema de controlo interno de acordo com a Lei das Sociedades Comerciais Japonesas e a Lei dos Instrumentos Financeiros e Câmbio Japonês. O termo “sistema de controlo interno” pode parecer complexo, mas, de forma simples, é um sistema para gerir adequadamente as operações da empresa e prevenir riscos.

Então, como funciona o sistema de controlo interno em relação aos parceiros externos? Este é um problema particularmente relevante, dado que muitas empresas terceirizam várias operações, como logística e manutenção.

Neste artigo, explicaremos as medidas para operar o sistema de controlo interno no local de terceirização e prevenir incidentes de segurança.

O que é um Sistema de Controlo Interno

O que é um Sistema de Controlo Interno

Um Sistema de Controlo Interno refere-se aos meios e métodos organizacionais necessários para uma empresa ou organização conduzir uma gestão adequada, conforme definido na Lei das Sociedades Japonesas e na Lei dos Instrumentos Financeiros e Câmbio Japonesa.

De acordo com a Lei das Sociedades Japonesas, as seguintes empresas são obrigadas a estabelecer um Sistema de Controlo Interno:

  • Grandes empresas
  • Empresas com um Comité de Nomeação estabelecido
  • Empresas com um Comité de Auditoria estabelecido

Além disso, a Lei dos Instrumentos Financeiros e Câmbio Japonesa impõe às empresas cotadas a obrigação de estabelecer um Sistema de Controlo Interno, e é necessário submeter um relatório de controlo interno para cada ano fiscal. Este relatório de controlo interno deve ser auditado por um Contabilista Certificado ou uma Empresa de Auditoria.

Se ocorrerem danos devido a uma falha no Sistema de Controlo Interno, como um vazamento de informações, a empresa e os diretores podem ser responsabilizados por danos. Para mais informações sobre o Sistema de Controlo Interno relacionado com a proteção de informações, consulte o seguinte artigo.

Artigo relacionado: Explicando medidas para prevenir vazamentos de informações. O que deve ser incluído nas regras internas[ja]

Riscos no sistema de controlo interno que podem surgir durante a subcontratação

Mesmo que a sua empresa tenha estabelecido regulamentos relacionados à segurança da informação, se o subcontratado não tiver estabelecido tais regulamentos, ou se o conteúdo for insuficiente, existe a possibilidade de ocorrer um incidente de segurança no subcontratado.

No caso de um incidente de segurança, mesmo que seja um acidente no subcontratado, existe o risco de a imagem da empresa contratante, que tem a responsabilidade de gestão, ser prejudicada.

Portanto, ao subcontratar, é importante estabelecer um sistema no subcontratado para evitar incidentes de segurança e outros.

É necessário um sistema de controlo interno que inclua a gestão de contratados

Considerando os precedentes, a implementação de um sistema de segurança da informação é um dos elementos importantes na construção de um sistema de controlo interno.

Se uma empresa ou organização causar danos a terceiros devido a falhas no sistema de segurança da informação, os diretores podem ser responsabilizados por violação do dever de diligência por negligenciarem o dever de construir um sistema de controlo interno. Além disso, se houver falhas no sistema de segurança da informação do contratado e isso causar danos a terceiros, a empresa contratante e os seus diretores também podem ser responsabilizados.

Até agora, não há casos confirmados em que uma reclamação de indemnização por danos com base na violação do dever de diligência devido à violação do dever de construir um sistema de controlo interno foi aceite contra os diretores da empresa contratante quando ocorreu um incidente de segurança devido a falhas na gestão do contratado. No entanto, é possível que ações judiciais possam ser movidas no futuro.

A importância do sistema de controlo interno aprendida através de casos reais

Medidas a tomar ao subcontratar externamente

Vamos ver que medidas devem ser tomadas ao subcontratar serviços, com base em casos passados.

Caso de vazamento de informações na Organização Japonesa de Pensões

Em 2015 (Ano 27 da era Heisei), ocorreu um vazamento de informações na Organização Japonesa de Pensões devido a um acesso não autorizado, e foi confirmado o vazamento de informações pessoais, como números de pensão básica e nomes.

Em relação a este caso, foi estabelecido o Comité de Verificação do Caso de Vazamento de Informações da Organização Japonesa de Pensões devido a Acesso Não Autorizado (doravante referido como “Comité de Verificação”), e foi elaborado um relatório de verificação datado de 21 de agosto de 2015 (Ano 27 da era Heisei), que resume os acontecimentos. De acordo com este relatório, o sistema LAN da Organização Japonesa de Pensões foi atacado e uma grande quantidade de informações pessoais vazou de uma pasta partilhada.

Quando o sistema foi construído, foi acordado que não seriam tratadas informações pessoais no sistema LAN, mas parece que as informações pessoais acabaram por ser colocadas numa pasta partilhada no sistema LAN sob certas condições. Além disso, o sistema LAN da Organização Japonesa de Pensões não estava preparado para lidar com ataques direcionados, por isso demorou algum tempo a entender a situação depois de terem percebido o ataque.

O Comité de Verificação propôs as seguintes medidas para prevenir a recorrência:

  • Estabelecimento de uma estrutura humana (como a criação de um departamento de medidas de segurança)
  • Estabelecimento de um sistema de supervisão do Ministério da Saúde, Trabalho e Bem-Estar (como a criação de um sistema de segurança da informação no Ministério da Saúde, Trabalho e Bem-Estar)
  • Estabelecimento técnico (como a criação de um sistema baseado na realidade e riscos do trabalho)
  • Reforma da consciência na Organização Japonesa de Pensões

Além disso, apenas foi acordado um entendimento geral sobre a proteção da segurança da informação com a empresa subcontratada, e não havia um acordo claro sobre como responder especificamente quando ocorresse um incidente, o que atrasou a resposta e aumentou o dano. (Fonte: Ministério da Saúde, Trabalho e Bem-Estar, “Relatório de Verificação datado de 21 de agosto do ano 27 da era Heisei[ja]“)

Para prevenir tais situações, será necessário:

  • Estabelecer um Acordo de Nível de Serviço com conteúdo específico
  • Acordar claramente que a empresa subcontratada irá lidar com a resposta de emergência

O Acordo de Nível de Serviço (Service Level Agreement, SLA) é um contrato que estabelece um acordo entre o fornecedor e o receptor do serviço sobre a qualidade do serviço, o âmbito de aplicação, o método de receção, responsabilidades e custos, etc. Além disso, ao concordar previamente sobre a resposta em caso de ocorrência de um incidente, é possível responder de forma rápida e adequada.

Caso de vazamento de informações pessoais na Benesse Corporation

Em 2014 (Ano 26 da era Heisei), ocorreu um caso de vazamento de informações pessoais na Benesse Corporation. Isto ocorreu quando um funcionário da empresa subcontratada copiou dados de clientes e os vendeu a um operador de listas de correio, resultando no vazamento de cerca de 29,89 milhões de informações de clientes.

Como causa deste caso, foi apontado o facto de terem sido concedidos direitos de acesso aos dados até aos subcontratados secundários, apesar de não haver um sistema de supervisão adequado para prevenir o vazamento de informações.

Como medidas, podem ser consideradas:

  • Definir claramente no contrato o âmbito do trabalho e o acesso à informação do subcontratado
  • Realização de auditorias regulares ao subcontratado
  • Impor ao subcontratado a obrigação de relatar sobre o sistema de supervisão
  • Decidir quem irá lidar com informações importantes no subcontratado e realizar uma revisão

Um dos clientes posteriormente iniciou um processo contra a Benesse Corporation, fornecedora do serviço, pedindo uma indemnização de 100.000 ienes por causa do vazamento de suas informações pessoais e de seu filho neste incidente.

O cliente perdeu em primeira e segunda instâncias, mas a decisão do Supremo Tribunal de 23 de outubro de 2017 (Ano 29 da era Heisei) declarou que:

“A decisão de rejeitar imediatamente o pedido do recorrente apenas com base no facto de que não foram apresentadas alegações ou provas de danos que ultrapassassem o desconforto, sem uma consideração adequada da existência e do grau de danos mentais do recorrente devido à violação da privacidade.”

Caso de pedido de indemnização nº 1892 do ano 28 da era Heisei, Decisão da Segunda Pequena Corte de 23 de outubro do ano 29 da era Heisei[ja]

Com isto, a decisão da segunda instância foi anulada e o caso foi remetido para o Tribunal Superior de Osaka.

Em 20 de novembro de 2019, o Tribunal Superior de Osaka reconheceu a violação da privacidade e ordenou à Benesse Corporation que pagasse 1.000 ienes.

Em primeira e segunda instâncias, não só a violação da privacidade, mas também se houve realmente danos foram enfatizados, mas o Supremo Tribunal decidiu que deveria ser considerado se houve uma violação da privacidade, independentemente da existência de danos. Em outros casos de vazamento de informações, há muitos casos em que são reconhecidos pedidos de indemnização com base em vazamentos de informações, e acredita-se que esta decisão do Supremo Tribunal esteja de acordo com essa tendência.

Resumo: Consulte um advogado sobre o sistema de controlo interno

Para uma gestão saudável de uma empresa ou organização, é necessário construir e operar adequadamente um sistema de controlo interno. Mesmo se o contratado causar um incidente de segurança, como uma fuga de informação, o contratante pode ser responsabilizado e a imagem da empresa pode ser prejudicada. Para evitar tais situações, é necessário construir um sistema que garanta que o sistema de controlo interno funcione adequadamente no contratado.

Por favor, consulte um advogado sobre a construção e operação de um sistema de controlo interno, incluindo a implementação de um sistema de segurança da informação.

Apresentação das medidas propostas pelo nosso escritório

O escritório de advocacia Monolith é especializado em IT, particularmente na intersecção entre a Internet e a lei. A necessidade de verificações legais na construção e operação de sistemas de controlo interno está a aumentar cada vez mais. Detalhes adicionais são fornecidos no artigo abaixo.

Áreas de prática do escritório de advocacia Monolith: Assuntos corporativos de IT e startups[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Não faça isso! Exemplos de publicidade exagerada e penalidades por violação

Não faça isso! Exemplos de publicidade exagerada e penalidades por violação

General Corporate

O que é o período de validade de uma patente? Explicação do objetivo da lei e do registo de extensão

O que é o período de validade de uma patente? Explicação do objetivo da lei e do registo de exte.

General Corporate

【Implementação em abril de 2026 (Reiwa 6)】Quais são os pontos-chave nas alterações à Lei de Marcas e à Lei de Design Japonês? Explicação dos aspetos a conhecer

【Implementação em abril de 2026 (Reiwa 6)】Quais são os pontos-chave nas alterações à Lei de Marc.

General Corporate

Pontos chave a verificar nos contratos de publicidade entre empresas de TI e celebridades

Pontos chave a verificar nos contratos de publicidade entre empresas de TI e celebridades

General Corporate

Não falhe! “Sobre as leis que deve conhecer para a 'M&A pessoal'”

Não falhe! “Sobre as leis que deve conhecer para a 'M&A pessoal'”

General Corporate

A 'cláusula de proibição de namoro' de um ídolo é legalmente válida? Apresentação de dois casos judiciais

A 'cláusula de proibição de namoro' de um ídolo é legalmente válida? Apresentação de dois casos .

General Corporate

O que mudou com a revisão da 'Lei Japonesa de Design' em 2019 (Ano 31 da Era Heisei)? Explicação de 3 pontos específicos

O que mudou com a revisão da 'Lei Japonesa de Design' em 2019 (Ano 31 da Era Heisei)? Explicação.

General Corporate

Um advogado explica claramente os pontos importantes das diretrizes de publicidade médica

Um advogado explica claramente os pontos importantes das diretrizes de publicidade médica

General Corporate

Aprender através de exemplos: 'Infringimento de Direitos de Marca Registada' - Critérios e Penalidades (Prisão e Multas)

Aprender através de exemplos: 'Infringimento de Direitos de Marca Registada' - Critérios e Penal.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retornar ao topo