Română English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ro/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Zilele săptămânii 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Cum se previne un incident de securitate la furnizor? Explicăm construcția și operarea sistemului de control intern al clientului

Cum se previne un incident de securitate la furnizor? Explicăm construcția și operarea sistemului de control intern al clientului

General Corporate

Cum se previne un incident de securitate la furnizor? Explicăm construcția și operarea sistemului de control intern al clientului

Companiile sunt obligate să construiască un sistem de control intern, conform Legii Japoneze a Companiilor (Legea Societăților) și Legii Japoneze a Tranzacțiilor cu Produse Financiare (Legea Tranzacțiilor Financiare). Termenul de “sistem de control intern” poate părea complicat, dar, pe scurt, este un sistem conceput pentru a gestiona corespunzător operațiunile companiei și pentru a preveni riscurile.

Deci, cum funcționează sistemul de control intern în relația cu partenerii externi? Acesta devine o problemă, mai ales având în vedere că multe companii externalizează diverse operațiuni, cum ar fi logistica și întreținerea.

Acest articol explică măsurile de prevenire a incidentelor de securitate și funcționarea sistemului de control intern la entitățile cărora le sunt delegate aceste sarcini.

Ce este sistemul de control intern

Ce este sistemul de control intern

Sistemul de control intern se referă la mijloacele și metodele organizaționale necesare pentru o gestionare adecvată a unei companii sau organizații, fiind definit în Legea Japoneză a Companiilor și în Legea Japoneză a Instrumentelor Financiare și a Bursei.

Conform Legii Japoneze a Companiilor, următoarele companii sunt obligate să implementeze un sistem de control intern:

  • Companii mari
  • Companii cu comitete de numire
  • Companii cu comitete de audit

De asemenea, Legea Japoneză a Instrumentelor Financiare și a Bursei impune companiilor listate obligația de a implementa un sistem de control intern și de a depune un raport de control intern pentru fiecare an fiscal. Acest raport de control intern trebuie să fie certificat de un contabil public autorizat sau de o firmă de audit.

Dacă apar daune ca urmare a unei scurgeri de informații sau a altor probleme cauzate de deficiențe în sistemul de control intern, compania și directorii săi pot fi ținuți responsabili pentru despăgubiri. Pentru mai multe detalii despre sistemul de control intern în ceea ce privește protecția informațiilor, vă rugăm să consultați articolul de mai jos.

Articolul corelat: Explicarea măsurilor de prevenire a scurgerilor de informații. Ce ar trebui să includă regulamentele interne[ja]

Riscuri legate de sistemul de control intern care pot apărea în timpul externalizării serviciilor

Chiar dacă compania dvs. a stabilit propriile reglementări legate de securitatea informațiilor, există posibilitatea ca incidente de securitate să apară la furnizorul de servicii, dacă acesta nu a stabilit astfel de reglementări sau dacă acestea sunt insuficiente.

În cazul în care se produce un incident de securitate, chiar dacă acesta a avut loc la furnizorul de servicii, există riscul ca imaginea companiei care a externalizat serviciile și care are responsabilitatea gestionării acestora, să fie afectată.

Prin urmare, este important ca, în momentul externalizării serviciilor, să se construiască un sistem care să prevină apariția incidentelor de securitate și la furnizorul de servicii.

Este necesar un sistem de control intern care include gestionarea contractelor

Luând în considerare cazurile juridice, este clar că implementarea unui sistem de securitate a informațiilor este un element cheie în construirea unui sistem de control intern.

Dacă există deficiențe în sistemul de securitate a informațiilor care cauzează daune terților de către companie sau organizație, există posibilitatea ca directorii să fie acuzați de încălcarea obligației de a exercita o grijă rezonabilă, pentru că au neglijat construirea unui sistem de control intern. În plus, dacă există deficiențe în sistemul de securitate a informațiilor al contractantului și acestea cauzează daune terților, este posibil ca responsabilitatea să fie atribuită companiei contractante sau directorilor săi.

Deși nu există cazuri confirmate în care s-a recunoscut o cerere de despăgubire bazată pe încălcarea obligației de a exercita o grijă rezonabilă datorită încălcării obligației de a construi un sistem de control intern în cazul unui incident de securitate cauzat de deficiențe în gestionarea contractantului, se consideră că există posibilitatea ca acțiuni în justiție să fie inițiate în viitor.

Importanța sistemului de control intern învățată prin exemple

Măsurile care trebuie luate în cazul externalizării

Aici, vom examina ce măsuri ar trebui luate atunci când externalizăm serviciile, luând în considerare exemplele din trecut.

Cazul de scurgere de informații la Organizația Japoneză de Pensii

În anul 2015, la Organizația Japoneză de Pensii a avut loc o scurgere de informații cauzată de un acces neautorizat, confirmându-se astfel divulgarea de informații personale precum numărul de pensie de bază și numele.

În legătură cu acest caz, a fost înființată Comisia de Verificare a Cazului de Scurgere de Informații cauzată de Accesul Neautorizat la Organizația Japoneză de Pensii (denumită în continuare Comisia de Verificare), care a elaborat un raport de verificare datat 21 august 2015 (Heisei 27), care rezumă circumstanțele. Conform acestui raport, sistemul LAN al Organizației Japoneze de Pensii a fost atacat, rezultând în scurgerea unei cantități mari de informații personale din dosarele partajate.

Atunci când s-a construit sistemul, s-a stabilit că informațiile personale nu vor fi gestionate pe sistemul LAN, dar se pare că informațiile personale au ajuns să fie introduse în dosarele partajate de pe sistemul LAN sub anumite condiții. În plus, sistemul LAN al Organizației Japoneze de Pensii nu era operat într-un mod care să poată face față atacurilor țintite, astfel încât a durat mult timp să înțeleagă situația după ce a fost observat atacul.

Comisia de Verificare a propus următoarele măsuri de prevenire a recidivei:

  • Îmbunătățirea structurii umane (înființarea unui departament de securitate etc.)
  • Îmbunătățirea sistemului de supraveghere al Ministerului Sănătății, Muncii și Bunăstării (îmbunătățirea sistemului de securitate a informațiilor al Ministerului etc.)
  • Îmbunătățirea tehnologică (îmbunătățirea sistemului bazat pe realitatea și riscul afacerii etc.)
  • Reformarea conștiinței Organizației Japoneze de Pensii

În plus, doar un acord general a fost încheiat cu contractorul cu privire la protecția securității informațiilor, iar nu a existat un acord clar cu privire la răspunsul specific în cazul în care un incident are loc, ceea ce a întârziat răspunsul și a mărit daunele. (Sursa: Ministerul Sănătății, Muncii și Bunăstării “Raportul de verificare datat 21 august Heisei 27[ja]“)

Pentru a preveni astfel de situații, este necesar să:

  • Încheiați un acord de nivel de serviciu cu un conținut specific
  • Înțelegeți clar că contractorul va gestiona răspunsul de urgență

Un acord de nivel de serviciu (Service Level Agreement, SLA) este un contract încheiat între partea care oferă serviciul și partea care îl primește, în care se ajunge la un acord cu privire la calitatea serviciului, domeniul de aplicare, metoda de primire, responsabilitatea și costurile etc. De asemenea, prin încheierea unui acord în prealabil cu privire la răspunsul la incidente, este posibil să se ia un răspuns rapid și adecvat.

Cazul de scurgere de informații personale la Benesse Corporation

În 2014, a avut loc un caz de scurgere de informații personale la Benesse Corporation. Acesta a fost cauzat de un angajat al unei companii contractante care a copiat și vândut datele clienților către un broker de liste, rezultând în scurgerea a aproximativ 29,89 milioane de informații despre clienți.

Ca cauză a acestui incident, se poate menționa faptul că, deși se acordau drepturi de acces la date până la subcontractanți și subcontractanți secundari, nu exista un sistem de supraveghere suficient pentru a preveni scurgerea de informații.

Ca măsuri de precauție, se pot considera:

  • Definirea clară în contract a domeniului de activitate și a accesului la informații al companiei contractante
  • Implementarea de audituri periodice ale companiei contractante
  • Impunerea unei obligații de raportare privind sistemul de supraveghere către compania contractantă
  • Desemnarea și evaluarea persoanelor care manipulează informații importante la compania contractantă

Unul dintre clienți a intentat un proces împotriva Benesse Corporation, furnizorul de servicii, cerând despăgubiri de 100.000 de yeni pentru scurgerea de informații personale ale sale și ale copilului său în acest incident.

Deși clientul a pierdut în prima și a doua instanță, prin hotărârea Curții Supreme din 23 octombrie 2017 (Heisei 29),

“A fost o decizie care a respins cererea apelantului imediat, doar pe baza faptului că nu s-a susținut și nu s-a dovedit că există daune care depășesc disconfortul etc., fără a examina suficient existența și gradul de daune psihice ale apelantului cauzate de încălcarea dreptului la viață privată.”

Hotărârea din 23 octombrie 2017 (Heisei 29) a celui de-al doilea mic tribunal în cazul cererii de despăgubiri, numărul 1892 (Heisei 28)[ja]

Curtea Supremă a anulat hotărârea instanței de apel și a trimis cazul înapoi la Curtea de Apel Osaka.

La 20 noiembrie 2019, Curtea de Apel Osaka a recunoscut încălcarea dreptului la viață privată și a ordonat Benesse Corporation să plătească 1.000 de yeni.

În prima și a doua instanță, nu numai încălcarea dreptului la viață privată, ci și dacă au existat sau nu daune reale a fost un punct important, dar Curtea Supremă a decis că ar trebui să examineze dacă a existat o încălcare a dreptului la viață privată, indiferent de existența sau inexistența daunelor. În alte cazuri de scurgeri de informații, există multe cazuri în care se recunoaște cererea de despăgubiri bazată pe scurgerea de informații, și se consideră că această hotărâre a Curții Supreme este în conformitate cu această tendință.

Concluzie: Consultați un avocat cu privire la sistemul de control intern

Pentru o gestionare sănătoasă a companiilor și organizațiilor, este necesar să construiți și să operați corespunzător un sistem de control intern. Chiar și în cazul în care contractorul provoacă un incident de securitate, cum ar fi scurgerea de informații, există posibilitatea ca partea care a încredințat să fie responsabilă, și nu se poate evita o scădere a imaginii companiei. Pentru a evita astfel de situații, trebuie să construiți în prealabil un sistem care să asigure funcționarea adecvată a sistemului de control intern și la contractor.

Vă rugăm să consultați un avocat cu privire la construirea și operarea sistemului de control intern, inclusiv implementarea sistemului de securitate a informațiilor.

Prezentarea măsurilor noastre de către firma noastră

Cabinetul nostru de avocatură Monolith este un birou de avocatură cu o înaltă specializare în IT, în special în aspectele legale ale internetului. Necesitatea verificărilor legale în ceea ce privește construcția și funcționarea sistemelor de control intern este în creștere. Detalii sunt prezentate în articolul de mai jos.

Domeniile de practică ale Cabinetului de Avocatură Monolith: Afaceri corporative pentru IT și startup-uri[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Publicitatea afiliată și Legea Japoneză a Siguranței Consumatorilor - Explicarea exemplelor de falsitate și exagerare

Publicitatea afiliată și Legea Japoneză a Siguranței Consumatorilor - Explicarea exemplelor de f.

General Corporate

Puncte de atenție la deschiderea unui magazin online, explicând Legea Japoneză a Comerțului cu Obiecte Vechi

Puncte de atenție la deschiderea unui magazin online, explicând Legea Japoneză a Comerțului cu O.

General Corporate

Ce este un term sheet în cazul în care primiți investiții prin J-KISS

Ce este un term sheet în cazul în care primiți investiții prin J-KISS

General Corporate

Șase puncte de care să ții cont pentru a încheia un 'parteneriat de afaceri' corect și fără pierderi

Șase puncte de care să ții cont pentru a încheia un 'parteneriat de afaceri' corect și fără pier.

General Corporate

Avocatul explică modul corect de redactare și tipurile de contracte de agenție

Avocatul explică modul corect de redactare și tipurile de contracte de agenție

General Corporate

Avocatul explică în mod clar punctele esențiale ale 'Ghidului pentru publicitatea medicală' japoneză

Avocatul explică în mod clar punctele esențiale ale 'Ghidului pentru publicitatea medicală' japo.

General Corporate

„No Claim, No Return” înseamnă că returnarea este absolut imposibilă? Explicăm efectul juridic

„No Claim, No Return” înseamnă că returnarea este absolut imposibilă? Explicăm efectul juridic

General Corporate

Deosebirea și diferența dintre delegare, detașare, semi-delegare, contract, subcontractare falsă și furnizarea de muncitori

Deosebirea și diferența dintre delegare, detașare, semi-delegare, contract, subcontractare falsă.

General Corporate

Punctele esențiale de verificat în contractele de publicitate încheiate între companiile IT și celebrități

Punctele esențiale de verificat în contractele de publicitate încheiate între companiile IT și c.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

?napoi la ?nceput