Как предотвратить инциденты безопасности у подрядчика? Объясняем создание и управление системой внутреннего контроля заказчика

Компаниям предписано создавать системы внутреннего контроля в соответствии с Японским Коммерческим кодексом (Company Law) и Японским Законом о торговле финансовыми инструментами (Financial Instruments and Exchange Law). “Система внутреннего контроля” может звучать сложно, но, говоря простыми словами, это система, предназначенная для корректного управления бизнесом компании и предотвращения рисков.

Так как же функционирует система внутреннего контроля в отношениях с внешними контрагентами? Это становится проблемой, особенно учитывая, что компании часто передают различные задачи, такие как логистика и обслуживание, на аутсорсинг.

В этой статье мы расскажем о мерах, которые необходимо предпринять для предотвращения инцидентов безопасности и обеспечения работы системы внутреннего контроля у контрагентов.

Что такое система внутреннего контроля

Система внутреннего контроля – это организационные средства и методы, необходимые для адекватного управления компанией или организацией. Они определены в Японском законе о компаниях и Японском законе о финансовых инструментах.

Согласно Японскому закону о компаниях, следующие компании обязаны создавать систему внутреннего контроля:

• Крупные компании
• Компании с установленным номинационным комитетом
• Компании с установленным аудиторским комитетом

В Японском законе о финансовых инструментах, котировочные компании обязаны создавать систему внутреннего контроля и представлять отчет о внутреннем контроле за каждый финансовый год. Этот отчет о внутреннем контроле должен быть подтвержден сертифицированным бухгалтером или аудиторской фирмой.

Если в результате недостатков в системе внутреннего контроля происходит утечка информации и возникает ущерб, компания и ее директора могут нести ответственность за возмещение ущерба. Подробнее о системе внутреннего контроля в отношении защиты информации мы рассказываем в следующей статье, пожалуйста, ознакомьтесь с ней.

Связанная статья: Объясняем меры предотвращения утечки информации. Что должно быть включено в внутренние правила[ja]

Риски внутреннего контрольного системы, которые могут возникнуть при аутсорсинге

Даже если ваша компания установила свои собственные правила в области информационной безопасности, существует риск возникновения инцидентов безопасности в компании-подрядчике, если они не установили подобные правила или если их содержание недостаточно.

В случае инцидента безопасности, даже если это произошло в компании-подрядчике, существует риск ухудшения имиджа компании-заказчика, которая несет ответственность за управление.

Поэтому при аутсорсинге важно создать систему, которая предотвращает возникновение инцидентов безопасности и других подобных ситуаций в компании-подрядчике.

Необходима система внутреннего контроля, включающая управление контрагентами

Судя по судебной практике, разработка системы информационной безопасности является одним из важных элементов при построении системы внутреннего контроля.

Если из-за недостатков в системе информационной безопасности компания или организация причиняет ущерб третьим лицам, возможно, что директора будут обвинены в нарушении обязанности по созданию системы внутреннего контроля и в нарушении обязанности заботы о благополучии. Кроме того, если из-за недостатков в системе информационной безопасности контрагента возникает ущерб для третьих лиц, возможно, что ответственность будет возложена на компанию-заказчика или ее директора.

Хотя пока не подтверждены случаи, когда были признаны требования о возмещении ущерба на основании нарушения обязанности заботы о благополучии из-за нарушения обязанности по созданию системы внутреннего контроля в отношении директоров заказчика в случае инцидента с безопасностью у контрагента, в будущем возможно возникновение исков.

Важность внутренней контрольной системы на примерах

Здесь мы рассмотрим, какие меры следует принять при передаче работы на аутсорсинг, опираясь на прошлые примеры.

Утечка информации в Японском пенсионном учреждении

В 2015 году (Григорианский календарь) в Японском пенсионном учреждении произошла утечка информации из-за несанкционированного доступа. Было подтверждено, что утекли персональные данные, включая номера базовых пенсионных страхований и имена.

В связи с этим был создан Комитет по проверке утечки информации в результате несанкционированного доступа к Японскому пенсионному учреждению (далее – Комитет по проверке), который подготовил отчет о проверке от 21 августа 2015 года, в котором изложены обстоятельства случившегося. Согласно этому отчету, система LAN Японского пенсионного учреждения была атакована, и из общей папки было украдено большое количество персональных данных.

При создании системы предполагалось, что персональные данные в системе LAN не будут обрабатываться, однако, похоже, что при определенных условиях персональные данные могли быть помещены в общую папку в системе LAN. Кроме того, система LAN Японского пенсионного учреждения не была готова к целевым атакам, поэтому понадобилось много времени для понимания ситуации после обнаружения атаки.

Комитет по проверке предложил следующие меры для предотвращения повторения:

• Усовершенствование человеческих ресурсов (создание главного отдела по обеспечению безопасности и т.д.)
• Усовершенствование системы надзора Министерства здравоохранения, труда и социального обеспечения (улучшение системы информационной безопасности Министерства и т.д.)
• Техническое усовершенствование (разработка системы на основе реальной ситуации и рисков в работе и т.д.)
• Изменение сознания в Японском пенсионном учреждении

Они также отметили, что между учреждением и контрагентом было достигнуто только общее соглашение о защите информационной безопасности, и не было четкого соглашения о конкретных действиях в случае инцидента, что привело к задержке реакции и увеличению ущерба. (Источник: Министерство здравоохранения, труда и социального обеспечения, “Отчет о проверке от 21 августа 2015 года[ja]“)

Чтобы предотвратить подобные ситуации, необходимо:

• Заключить соглашение об уровне обслуживания с конкретными условиями
• Ясно договориться о том, что контрагент будет реагировать в чрезвычайных ситуациях

Соглашение об уровне обслуживания (Service Level Agreement, SLA) – это договор между поставщиком услуг и получателем услуг, в котором согласовываются качество услуг, область применения, способ получения, ответственность и стоимость и т.д. Кроме того, заранее договорившись о действиях в случае инцидента, можно быстро и адекватно реагировать на него.

Утечка персональных данных в корпорации “Бенессе”

В 2014 году произошла утечка персональных данных в корпорации “Бенессе”. Это произошло из-за того, что сотрудник компании-подрядчика скопировал данные клиентов и продал их списком компании-брокеру, в результате чего было раскрыто около 29,89 миллионов записей клиентов.

Причиной этого инцидента стало то, что, несмотря на предоставление прав доступа на данные подрядчикам и даже подподрядчикам, не было достаточной системы контроля, чтобы предотвратить утечку информации.

В качестве мер предотвратить подобные инциденты можно рассмотреть следующее:

• Четкое определение в контракте области деятельности подрядчика и доступа к информации
• Регулярный аудит подрядчиков
• Введение обязанности подрядчика докладывать о системе контроля
• Определение лиц, обрабатывающих важную информацию у подрядчика, и проведение их проверки

Однако, после этого инцидента один из клиентов подал в суд на корпорацию “Бенессе”, требуя компенсации в размере 100 000 иен за утечку его личной информации и информации его ребенка.

В первой и второй инстанции клиент проиграл, но по решению Верховного Суда от 23 октября 2017 года (Heisei 29),

“Отказ от требования истца был основан только на том, что не было представлено утверждений и доказательств о наличии ущерба, превышающего дискомфорт, из-за нарушения приватности, без должного рассмотрения наличия и степени морального вреда истца из-за нарушения приватности”

Решение Второго малого состава от 23 октября 2017 года (Heisei 29) по делу о требовании о возмещении ущерба №1892 (2016)[ja]

Верховный суд отменил решение второй инстанции и отправил дело на новое рассмотрение в Осакский высший суд.

20 ноября 2019 года Осакский высший суд признал нарушение приватности и приказал корпорации “Бенессе” выплатить 1 000 иен.

В первой и второй инстанции акцент был сделан не только на нарушение приватности, но и на то, был ли реальный ущерб. Однако, Верховный суд решил, что следует рассмотреть вопрос о нарушении приватности, независимо от наличия ущерба. В других случаях утечки информации часто признаются требования о возмещении ущерба на основе утечки информации, и это решение Верховного суда можно рассматривать как следующее в этом направлении.

Вывод: Обратитесь к адвокату по вопросам внутреннего контрольного системы

Для здорового управления компанией или организацией необходимо правильно построить и использовать систему внутреннего контроля. Даже если подрядчик вызывает инциденты безопасности, такие как утечка информации, заказчик может быть привлечен к ответственности, и репутация компании может пострадать. Чтобы избежать таких ситуаций, необходимо заранее создать систему, которая обеспечивает эффективное функционирование системы внутреннего контроля у подрядчика.

Пожалуйста, обратитесь к адвокату по вопросам создания и использования системы внутреннего контроля, включая систему информационной безопасности.

Информация о мерах, предпринимаемых нашей юридической фирмой

Юридическая фирма “Монолит” обладает высокой специализацией в области IT, особенно в интернете и праве. Все больше возрастает необходимость в юридической проверке при создании и управлении системами внутреннего контроля. Подробности приведены в статье ниже.

Сферы деятельности юридической фирмы “Монолит”: Юридические вопросы IT и стартапов[ja]