Hur kan man förhindra säkerhetsincidenter hos underleverantörer? En förklaring av uppbyggnad och drift av interna kontrollsystem för beställare

Företag är skyldiga att bygga upp interna kontrollsystem enligt den japanska företagslagen (Companies Act) och den japanska lagen om handel med finansiella instrument (Financial Instruments and Exchange Act). “Interna kontrollsystem” kan låta komplicerat, men för att uttrycka det enkelt, är det ett system för att korrekt hantera företagets verksamhet och förhindra risker.

Så hur fungerar interna kontrollsystem i relation till externa affärspartners? Framför allt blir det ett problem eftersom företag ofta outsourcar olika uppgifter som logistik och underhåll till externa parter.

I denna artikel kommer vi att förklara hur man hanterar interna kontrollsystem hos outsourcingpartners och vilka åtgärder som kan vidtas för att förhindra säkerhetsincidenter.

Vad är ett internt kontrollsystem?

Ett internt kontrollsystem är de organisatoriska medel och metoder som företag och organisationer behöver för att genomföra lämplig verksamhet, vilka definieras i både den japanska företagslagen (Japanska Företagslagen) och den japanska finansiella instrument- och börslagen (Japanska Finansiella Instrument- och Börslagen).

Enligt den japanska företagslagen är följande företag skyldiga att etablera ett internt kontrollsystem:

• Stora företag
• Företag med nomineringskommittéer
• Företag med revisionskommittéer

I den japanska finansiella instrument- och börslagen är börsnoterade företag skyldiga att etablera ett internt kontrollsystem och måste lämna in en intern kontrollrapport för varje räkenskapsår. Denna interna kontrollrapport måste granskas av en certifierad revisor eller revisionsfirma.

Om skada uppstår på grund av brister i det interna kontrollsystemet, till exempel läckage av information, kan företaget och dess styrelsemedlemmar vara ansvariga för skadestånd. För mer information om det interna kontrollsystemet för skydd av information, se följande artikel.

Relaterad artikel: Förklaring av åtgärder för att förhindra informationsläckage – Innehåll i företagsregler som bör etableras[ja]

Risker i internkontrollsystemet vid outsourcing

Även om ditt företag har fastställt egna informationssäkerhetsregler, finns det en risk att säkerhetsincidenter kan inträffa hos leverantören om de inte har fastställt sådana regler, eller om deras regler är otillräckliga.

Om en säkerhetsincident inträffar, även om det är hos leverantören, finns det en risk att företagets image kan skadas på grund av dess ansvar för hanteringen.

Därför är det viktigt att bygga upp ett system hos leverantören som förhindrar säkerhetsincidenter och liknande när du outsourcar verksamheten.

Behovet av ett internt kontrollsystem inklusive hantering av underleverantörer

Med hänsyn till rättspraxis och liknande, är utvecklingen av ett informationssäkerhetssystem en av de viktigaste komponenterna i att bygga ett internt kontrollsystem.

Om ett företag eller en organisation orsakar skada på en tredje part på grund av brister i informationssäkerhetssystemet, kan styrelseledamöterna ifrågasättas för att ha försummat sin skyldighet att bygga ett internt kontrollsystem, vilket kan leda till brott mot deras skyldighet att utöva due diligence. Dessutom, om det finns brister i underleverantörens informationssäkerhetssystem som leder till skada på en tredje part, kan det också vara möjligt att företaget eller dess styrelseledamöter hålls ansvariga.

Även om det inte finns några bekräftade fall där skadeståndskrav baserade på brott mot skyldigheten att utöva due diligence på grund av brist på intern kontroll har godkänts mot styrelseledamöter etc. när en säkerhetsincident inträffar på grund av brister i hanteringen av underleverantörer, kan det antas att det finns en möjlighet för rättsliga åtgärder att vidtas i framtiden.

Vikten av internkontrollsystem genom praktiska exempel

Här ska vi titta på vilka åtgärder som bör vidtas när man anlitar externa tjänster, med utgångspunkt i tidigare exempel.

Informationsläckage vid den japanska pensionsmyndigheten

År 2015 inträffade ett informationsläckage vid den japanska pensionsmyndigheten (Japanese Pension Service) på grund av obehörig åtkomst, där personuppgifter som grundläggande pensionsnummer och namn bekräftades ha läckt ut.

I samband med detta inrättades en utredningskommitté för informationsläckage vid den japanska pensionsmyndigheten (nedan kallad utredningskommittén), och en utredningsrapport daterad 21 augusti 2015 (Heisei 27) (2015) sammanställde händelseförloppet. Enligt denna rapport attackerades pensionsmyndighetens LAN-system, vilket resulterade i att en stor mängd personuppgifter läckte ut från delade mappar.

När systemet byggdes var det tänkt att personuppgifter inte skulle hanteras på LAN-systemet, men det verkar som om personuppgifter kunde placeras i delade mappar på LAN-systemet under vissa förhållanden. Dessutom var pensionsmyndighetens LAN-system inte utformat för att hantera riktade attacker, vilket ledde till att det tog tid att förstå situationen även efter att attacken upptäckts.

Utredningskommittén föreslog följande åtgärder för att förhindra att detta händer igen:

• Organisatoriska förbättringar (inrättande av en säkerhetsavdelning, etc.)
• Förbättringar av tillsynsstrukturen inom arbets- och välfärdsministeriet (förbättringar av ministeriets informationssäkerhetsstruktur, etc.)
• Tekniska förbättringar (systemutveckling baserad på verksamhetens realitet och risker, etc.)
• Förändring av medvetandet inom den japanska pensionsmyndigheten

De nämnde också att skadan blev större och responsen blev långsammare eftersom det endast fanns en allmän överenskommelse om skydd av informationssäkerhet mellan myndigheten och dess entreprenör, men ingen tydlig överenskommelse om specifika åtgärder vid en incident. (Källa: Arbets- och välfärdsministeriet, “Rapport daterad 21 augusti Heisei 27 (2015)[ja]“)

För att förhindra sådana situationer kan det vara nödvändigt att:

• Sluta ett serviceavtal med specifika villkor
• Ha en tydlig överenskommelse om att entreprenören ska hantera nödsituationer

Serviceavtal (Service Level Agreement, SLA) är ett kontrakt där tjänsteleverantören och tjänstemottagaren kommer överens om kvaliteten, tillämpningsområdet, mottagningsmetoden, ansvar och kostnader för tjänsten. Genom att också komma överens i förväg om hur man ska hantera en incident kan man snabbt och korrekt svara på situationen.

Personuppgiftsläckage vid Benesse Corporation

År 2014 inträffade ett fall av personuppgiftsläckage vid Benesse Corporation. Detta hände när en anställd hos en underleverantör kopierade kunddata och sålde den till en listföretag, vilket resulterade i att cirka 29,89 miljoner kunduppgifter läckte ut.

En orsak till detta fall var att trots att dataåtkomsträttigheter hade beviljats till underleverantörer och deras underleverantörer, fanns det ingen tillräcklig övervakning för att förhindra att information läckte ut.

Möjliga åtgärder inkluderar:

• Att tydligt definiera omfattningen av uppdraget och åtkomsten till information i kontraktet med underleverantören
• Genomförande av regelbundna revisioner av underleverantören
• Att införa en rapporteringsskyldighet för underleverantören gällande övervakningssystemet
• Att bestämma vem som ska hantera viktig information hos underleverantören och genomföra granskningar

En av kunderna stämde senare Benesse Corporation, tjänsteleverantören, för 100 000 yen i skadestånd för att hans och hans barns personuppgifter hade läckt ut i denna händelse.

Kunden förlorade i både första och andra instans, men enligt ett beslut från Högsta domstolen den 23 oktober 2017 (Heisei 29),

“Det var fel att omedelbart avvisa klagandens krav enbart på grund av att det inte fanns några bevis eller påståenden om att det hade uppstått skada utöver obehag, utan att noggrant granska om det fanns någon psykisk skada på klaganden på grund av kränkning av privatlivet och dess omfattning.”

Skadeståndskrav, fallnummer Heisei 28 (2016) nr 1892, beslut från andra mindre avdelningen den 23 oktober 2017 (Heisei 29)[ja]

Detta ledde till att domen i andra instans upphävdes och fallet skickades tillbaka till Osaka High Court för omprövning.

Den 20 november 2019 erkände Osaka High Court kränkning av privatlivet och beordrade Benesse Corporation att betala 1 000 yen.

I både första och andra instans betonades inte bara kränkning av privatlivet, utan också om det faktiskt hade uppstått någon skada. Men Högsta domstolen ansåg att det borde ha granskats om det fanns en kränkning av privatlivet, oavsett om det fanns någon skada eller inte. I andra fall av informationsläckage har det varit vanligt att skadeståndskrav baserade på informationsläckage erkänns, och detta beslut från Högsta domstolen anses vara i linje med denna trend.

Sammanfattning: Rådfråga en advokat angående interna kontrollsystem

För en sund förvaltning av företag och organisationer är det nödvändigt att korrekt bygga upp och driva interna kontrollsystem. Även om en underleverantör orsakar en säkerhetsincident, som informationsläckage, kan uppdragsgivaren hållas ansvarig, och företagets image kan inte undvikas att försämras. För att undvika sådana situationer måste du i förväg bygga upp ett system där det interna kontrollsystemet fungerar tillräckligt även hos underleverantören.

Vänligen rådfråga en advokat angående uppbyggnad och drift av interna kontrollsystem, inklusive informationssäkerhetssystem.

Information om åtgärder från vår byrå

Monolith Advokatbyrå är en juridisk byrå med hög expertis inom IT, särskilt internet och lag. Behovet av juridisk granskning i samband med uppbyggnad och drift av interna kontrollsystem ökar alltmer. Detaljer finns i artikeln nedan.

Monolith Advokatbyrås verksamhetsområden: IT och företagsjuridik för startups[ja]