ความเสียหายจากการโจมตีทางไซเบอร์ ความรับผิดชอบในการชดใช้ความเสียหายของผู้ขายระบบคืออะไร? อธิบายตัวอย่างการระบุในสัญญา
ในปัจจุบัน การโจมตีทางไซเบอร์ต่อองค์กรและบริษัทมีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่อง
ตามการสำรวจของมูลนิธิไม่แสวงหาผลกำไรทางด้านความปลอดภัยเครือข่ายของญี่ปุ่น (Japanese Network Security Association: JNSA) พบว่าสัดส่วนของการเข้าถึงข้อมูลโดยไม่ชอบด้วยกฎหมายในเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล ในปี 2013 (พ.ศ. 2556) คิดเป็น 4.7% ของรวม แต่ในปี 2018 (พ.ศ. 2561) สัดส่วนนี้เพิ่มขึ้นเป็น 20.3% (รายงานการสำรวจเหตุการณ์การโจมตีทางความปลอดภัยข้อมูล ปี 2018)
ในบทความนี้ เราจะอธิบายขอบเขตความรับผิดชอบของผู้ขายระบบ (system vendor) เมื่อถูกโจมตีทางไซเบอร์ โดยอ้างอิงจากตัวอย่างคดีฟ้องที่ผ่านมา นอกจากนี้ เรายังจะอธิบายเกี่ยวกับบทบาทและขอบเขตความรับผิดชอบที่ควรกำหนดไว้ในสัญญา สำหรับผู้ขายและผู้ใช้ที่ร่วมกันดำเนินการป้องกันการโจมตีทางไซเบอร์ โดยอ้างอิงจากตัวอย่างสัญญาแบบมาตรฐาน
ผู้ขายระบบจะต้องรับผิดชอบค่าเสียหายจากการโจมตีทางไซเบอร์หรือไม่?
เมื่อบริษัทฝ่ายผู้ใช้ระบบได้รับการโจมตีทางไซเบอร์และเกิดความเสียหาย ผู้ที่ควรถูกติดตามความรับผิดชอบก่อนอื่นคือผู้ก่อการโจมตีทางไซเบอร์ อย่างไรก็ตาม หากมีความเป็นไปได้ว่าการโจมตีเกิดขึ้นได้ง่ายขึ้นเนื่องจากความผิดพลาดในการพัฒนาและดำเนินการระบบ อาจมีการยอมรับคำขอค่าเสียหายจากฝ่ายผู้ใช้ระบบต่อฝ่ายผู้ขายระบบ
หลักฐานที่ใช้ในการติดตามความรับผิดชอบค่าเสียหายจากฝ่ายผู้ขายระบบ มีดังนี้
- ความรับผิดชอบจากการไม่ปฏิบัติตามสัญญา
- การละเมิดหน้าที่ในการดูแลรักษาด้วยความระมัดระวัง
อย่างไรก็ตาม อาจมีกรณีที่ความเสียหายขยายตัวเนื่องจากความผิดพลาดของฝ่ายผู้ใช้ระบบ ในกรณีนั้น ความรับผิดชอบของฝ่ายผู้ใช้ระบบอาจถูกยอมรับ ในการพิจารณาคดีจริง ๆ มีการพิจารณาความผิดพลาดที่สอดคล้องกัน และมีการจำกัดค่าเสียหายที่ต้องชดใช้ต่อฝ่ายผู้ขายระบบ
บทความที่เกี่ยวข้อง: การจำแนกประเภทของอาชญากรรมทางไซเบอร์ 3 ประเภทคืออะไร? ทนายความอธิบายมาตรการป้องกันความเสียหายในแต่ละรูปแบบ
ความรับผิดชอบในการชดใช้ความเสียหายของผู้ขายระบบและตัวอย่างการระบุในสัญญา
ตัวอย่างสัญญาระบบ IT ระหว่างผู้ขายระบบและผู้ใช้งานที่เป็นองค์กร มีดังนี้ 3 ประเภท
- สัญญาการพัฒนาซอฟต์แวร์
- สัญญาการบำรุงรักษาและการดำเนินการระบบ
- สัญญาการใช้บริการคลาวด์
ความรับผิดชอบในการชดใช้ความเสียหายจะถูกตัดสินตามสัญญาเริ่มต้น ดังนั้นจะอธิบายตามประเภทสัญญาด้านล่าง
สัญญาการพัฒนาซอฟต์แวร์
สัญญาการพัฒนาซอฟต์แวร์คือสัญญาที่บริษัทฝ่ายผู้ใช้จะทำกับผู้ขายซอฟต์แวร์เมื่อมอบหมายงานการพัฒนาระบบของตนเองให้กับผู้ขายซอฟต์แวร์
หากบริษัทฝ่ายผู้ใช้ได้รับการโจมตีทางไซเบอร์และความอ่อนแอของซอฟต์แวร์เป็นสาเหตุของการขยายความเสียหาย ความรับผิดชอบจากผู้ใช้ไปยังผู้ขายจะได้รับการยอมรับ
ความรับผิดชอบที่ผู้ขายระบบต้องรับมี 2 ประเภท ขึ้นอยู่กับประเภทของสัญญาการพัฒนาซอฟต์แวร์
- สัญญาจ้างงาน: ความรับผิดชอบจากการไม่สอดคล้องกับสัญญา
- สัญญาแทนที่: การละเมิดหน้าที่ในการดูแลด้วยความระมัดระวัง
สัญญาจ้างงาน
สัญญาจ้างงานคือสัญญาที่สัญญาว่าจะสร้างระบบและจะได้รับค่าตอบแทนสำหรับผลงานที่สร้างขึ้น
หากผลงานที่ส่งมอบ “ไม่สอดคล้องกับวัตถุประสงค์ของสัญญา” ผู้รับจ้างจะต้องรับผิดชอบจากการไม่สอดคล้องกับสัญญา (ตามมาตรา 559 และ 562 ของกฎหมายญี่ปุ่น) ในระยะเวลาที่กำหนดหลังจากการส่งมอบ
นั่นคือ ผลงานที่สามารถทำให้ระบบเกิดความผิดพลาดได้ง่ายจากการโจมตีทางไซเบอร์จะถือว่า “ไม่สอดคล้องกับวัตถุประสงค์ของสัญญา” และอาจต้องเผชิญกับการเรียกร้องค่าเสียหายจากผู้ใช้จากความรับผิดชอบจากการไม่สอดคล้องกับสัญญา
การยอมรับคำขอนี้ขึ้นอยู่กับระดับความปลอดภัยของซอฟต์แวร์ที่ทั้งสองฝ่ายได้ตกลงกันไว้ล่วงหน้า
【ตัวอย่างการระบุความรับผิดชอบจากการไม่สอดคล้องกับสัญญา】
มาตรา 〇 หลังจากการตรวจสอบเสร็จสิ้นตามมาตราก่อนหน้านี้ หากพบว่าผลงานที่ส่งมอบไม่สอดคล้องกับข้อกำหนดของระบบ (รวมถึงบั๊ก ในข้อนี้เรียกว่า “การไม่สอดคล้องกับสัญญา”) ผู้ว่าจ้างสามารถเรียกร้องให้ผู้รับจ้างดำเนินการเพื่อปรับปรุงผลงานที่ไม่สอดคล้องกับสัญญา (ในข้อนี้เรียกว่า “การปรับปรุง”) และผู้รับจ้างจะต้องดำเนินการปรับปรุง แต่ถ้าการปรับปรุงไม่ทำให้ผู้ว่าจ้างเกิดภาระที่ไม่เหมาะสม ผู้รับจ้างสามารถดำเนินการปรับปรุงโดยวิธีที่แตกต่างจากที่ผู้ว่าจ้างได้เรียกร้อง
2. แม้จะมีข้อก่อนหน้านี้ หากสามารถทำให้วัตถุประสงค์ของสัญญาแต่ละรายได้สำเร็จ และการปรับปรุงจะต้องใช้ค่าใช้จ่ายที่มากเกินไป ผู้รับจ้างจะไม่ต้องรับผิดชอบในการปรับปรุงตามข้อก่อนหน้านี้
3. ผู้ว่าจ้างสามารถเรียกร้องค่าเสียหายจากผู้รับจ้างหากได้รับความเสียหายจากการไม่สอดคล้องกับสัญญา (เฉพาะกรณีที่เกิดจากสาเหตุที่ควรรับผิดชอบของผู้รับจ้าง)
สัญญาแทนที่
สัญญาแทนที่ไม่มีการใช้ความรับผิดชอบจากการไม่สอดคล้องกับสัญญา เนื่องจากไม่มีหน้าที่ในการสร้างผลงาน แต่แทนที่จะมี “หน้าที่ในการจัดการธุรกิจที่ได้รับมอบหมายด้วยความระมัดระวังของผู้จัดการที่ดี” (หน้าที่ในการดูแลด้วยความระมัดระวัง)
เมื่อเกิดความผิดพลาดของระบบจากการโจมตีทางไซเบอร์ แม้ว่าจะไม่ได้กำหนดระดับความปลอดภัยในขณะทำสัญญา การพัฒนาระบบที่มีระดับความปลอดภัยเท่านั้นอาจถือว่าเป็น “การละเมิดหน้าที่ในการดูแลด้วยความระมัดระวัง” (ตามมาตรา 656 และ 644 ของกฎหมายญี่ปุ่น) และอาจต้องเผชิญกับการเรียกร้องค่าเสียหาย
【ตัวอย่างการระบุหน้าที่ในการดูแลด้วยความระมัดระวัง】
มาตรา 〇 ผู้รับจ้างจะให้บริการสนับสนุนการสร้างข้อกำหนดของระบบของผู้ว่าจ้าง (ในข้อนี้เรียกว่า “งานสนับสนุนการสร้างข้อกำหนด”) ตามสัญญาแต่ละรายที่ได้ทำตามมาตรา 〇 โดยอ้างอิงจากแผนการสร้างระบบข้อมูล แผนการทำระบบ และอื่น ๆ ที่ผู้ว่าจ้างได้สร้างขึ้น
2. ผู้รับจ้างจะดำเนินการสนับสนุนเช่นการสำรวจ การวิเคราะห์ การจัดการ การเสนอแนะ และการให้คำปรึกษา ฯลฯ ด้วยความระมัดระวังของผู้จัดการที่ดี เพื่อให้การทำงานของผู้ว่าจ้างดำเนินไปอย่างราบรื่นและเหมาะสม โดยอาศัยความรู้และประสบการณ์เฉพาะทางเกี่ยวกับเทคโนโลยีการประมวลผลข้อมูล
สัญญาการดูแลระบบและการดำเนินการ
สัญญาการดูแลระบบและการดำเนินการคือสัญญาที่บริษัทมอบหมายงานด้านการดูแลระบบและการดำเนินการของซอฟต์แวร์ที่มีอยู่แก่ผู้ขายซอฟต์แวร์ ในการทำสัญญาดูแลระบบและการดำเนินการ มักจะรวมระดับความปลอดภัยที่ควรจะบรรลุลงในสัญญาผ่านเอกสารที่ระบุข้อกำหนดการทำงาน
เมื่อเกิดความเสียหายจากการโจมตีทางไซเบอร์ หากระดับความปลอดภัยของระบบต่ำกว่าระดับที่ตกลงกันตอนทำสัญญา สามารถดำเนินการตามข้อตกลงที่ไม่เหมาะสมในสัญญาและติดตามความรับผิดชอบจากการไม่ปฏิบัติตามหน้าที่ได้
อย่างไรก็ตาม หากไม่ได้กำหนดระดับความปลอดภัยล่วงหน้า การดูแลระบบที่อ่อนแอต่อการโจมตีทางไซเบอร์อาจถูกดำเนินการตามความรับผิดชอบเนื่องจากการผิดหน้าที่ในการจัดการอย่างดีและระมัดระวัง
สัญญาการใช้บริการคลาวด์
สัญญาการใช้บริการคลาวด์คือสัญญาที่ทำขึ้นเมื่อใช้บริการที่ผู้ขายให้บริการบนคลาวด์ โดยทั่วไปแล้ว ผู้ขายจะมีการให้บริการที่เหมือนกันกับผู้ใช้จำนวนมาก ดังนั้น การทำสัญญามักจะตามเงื่อนไขการใช้งานที่ผู้ขายกำหนด
โดยทั่วไป สัญญานี้จะระบุถึงความรับผิดชอบในกรณีที่ไม่สามารถให้บริการได้เนื่องจากการโจมตีทางไซเบอร์
ในสัญญาการใช้บริการคลาวด์ โดยปกติจะมีการกำหนดสิ่งต่อไปนี้ในขณะทำสัญญา:
- SLA (Service Level Agreement) : การรับประกันคุณภาพและกฎการดำเนินงาน
- ข้อจำกัดความรับผิดชอบ: ขอบเขตความรับผิดชอบในกรณีที่มีความเสียหายเกิดขึ้นจากผู้ขายไม่ปฏิบัติตามหน้าที่
SLA คือการระบุระดับความต้องการของผู้ใช้และกฎการดำเนินงานของผู้ให้บริการอย่างชัดเจน หากไม่สามารถรับบริการที่กำหนดไว้ในนี้ คุณสามารถยื่นคำร้องขอค่าเสียหายในฐานะผิดสัญญาบางส่วน นอกจากนี้ ในสัญญาอาจมี “ข้อจำกัดความรับผิดชอบ” ที่ผู้ขายกำหนดข้อกำหนดที่จะรับคำร้องขอผิดสัญญาล่วงหน้า และจำกัดจำนวนเงินที่จะชดใช้ในกรณีที่ความรับผิดชอบได้รับการยอมรับ
อย่างไรก็ตาม ข้อจำกัดความรับผิดชอบมักมีข้อกำหนดที่เป็นไปในทางที่มีเปรียบสำหรับผู้ขาย ดังนั้น หากมีการทะเลาะวิวาท อาจมีการจำกัดบางส่วนตามหลักการตามคำพิพากษาของญี่ปุ่น
【ตัวอย่างข้อจำกัดความรับผิดชอบ】
ข้อที่ ○ ทั้งผู้ที่ 1 และผู้ที่ 2 สามารถขอค่าเสียหายจากอีกฝ่ายหนึ่ง หากได้รับความเสียหายจากเหตุผลที่ควรรับผิดชอบของอีกฝ่ายหนึ่งในการปฏิบัติตามสัญญานี้และสัญญาเฉพาะ (เฉพาะความเสียหายของ ○○○) แต่การขอค่าเสียหายนี้ไม่สามารถดำเนินการได้หลังจากผ่านไป ○ เดือนจากวันที่ส่งมอบผลิตภัณฑ์ที่ระบุในสัญญาเฉพาะหรือวันที่ยืนยันการสิ้นสุดงาน
2. ยอดรวมสูงสุดของค่าเสียหายที่เกี่ยวข้องกับการปฏิบัติตามสัญญานี้และสัญญาเฉพาะ ไม่ว่าจะเป็นการไม่ปฏิบัติตามหน้าที่ (รวมถึงความรับผิดชอบจากการไม่สอดคล้องกับสัญญา) ผลประโยชน์ที่ไม่เหมาะสม การกระทำที่ผิดกฎหมายหรือเหตุผลอื่น ๆ จะถูกจำกัดที่จำนวนเงินของ ○○○ ที่ระบุในสัญญาเฉพาะที่เป็นสาเหตุของเหตุผลที่ควรรับผิดชอบ
3. ข้อก่อนหน้านี้จะไม่ใช้ในกรณีที่มีความรับผิดชอบในการชดใช้ความเสียหายที่มาจากการกระทำโดยเจตนาหรือความผิดพลาดที่ร้ายแรง
มาตรฐานในการตัดสินความรับผิดชอบในการชดใช้ความเสียหายของผู้ขายระบบ
เมื่อมีความเสียหายเกิดขึ้นในองค์กรผู้ใช้งานจากการโจมตีทางไซเบอร์ ในกรณีที่เฉพาะอย่างไรที่ผู้ขายระบบที่พัฒนาระบบอาจถูกถามถึงความรับผิดชอบ?
ดังต่อไปนี้ จะอธิบายตามตัวอย่างคดีที่ผู้ขายระบบถูกถามถึงความรับผิดชอบจริงๆ
การดำเนินการตามมาตรฐานเทคโนโลยีในขณะที่พัฒนาหรือไม่
ในกรณีที่ความรับผิดชอบถูกโต้แย้งในศาลจริง จะเน้นว่าผู้ขายระบบได้ดำเนินการตามมาตรฐานการรักษาความปลอดภัยตามที่ได้รับคำเตือนหรือคู่มือจากหน่วยงานราชการหรือองค์กรอุตสาหกรรมในขณะที่พัฒนาระบบหรือไม่
มีตัวอย่างคดีที่ศาลสั่งให้ผู้ขายระบบชดใช้ความเสียหายจากการโจมตีทางไซเบอร์ดังนี้
【ตัวอย่างคดี】ศาลแขวงโตเกียว ปี 26 ฮิเซ (2014)
ผู้ใช้งาน: บริษัท X ที่ทำธุรกิจขายปลีกและขายออนไลน์วัสดุตกแต่งภายใน
ผู้ขายระบบ: บริษัท Y ที่รับจ้างออกแบบและบำรุงรักษาระบบสั่งซื้อผ่านเว็บไซต์
เหตุการณ์ที่ข้อมูลบัตรเครดิตของลูกค้า 7,000 รายละเหยจากการโจมตีทางไซเบอร์
■คำพิพากษา
สั่งให้ผู้ขายระบบชดใช้ความเสียหายประมาณ 20 ล้านเยน
จำนวนเงินที่ได้รับการยอมรับเกินจากค่าพัฒนาระบบประมาณ 2 ล้านเยน
ยอมรับว่าบริษัท X มีความผิด และลดความผิดชอบ 30%
■เหตุผล
・ผู้ขายระบบได้ละเว้นหน้าที่ในการดำเนินการรักษาความปลอดภัยตามมาตรฐานเทคโนโลยีในขณะนั้น
・แม้ว่าบริษัทผู้ใช้งานจะได้รับคำอธิบายเกี่ยวกับความเสี่ยงจากผู้ขายระบบ แต่ยังละเว้นการดำเนินการตาม ดังนั้น ศาลได้ลดความผิดชอบ 30% จากความผิดของบริษัทผู้ใช้งาน
ในปี 2014 การโจมตีทางไซเบอร์ด้วยวิธี “SQL Injection” คือวิธีที่นิยม และกระทรวงเศรษฐกิจ อุตสาหกรรมและการค้าของญี่ปุ่นได้เผยแพร่เอกสารที่เรียกว่า “การเตือนเกี่ยวกับการดำเนินการจัดการความปลอดภัยข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล” และเรียกให้เสริมสร้างระบบ
คำพิพากษายอมรับความรับผิดชอบของผู้ขายระบบที่ไม่ได้ดำเนินการตามมาตรการ และสั่งให้ชดใช้ความเสียหาย ในขณะเดียวกัน ศาลยอมรับว่าบริษัทผู้ใช้งานมีความผิด และลดความผิดชอบ 30%
บริษัทผู้ใช้งานมีความผิดหรือไม่
บริษัทผู้ใช้งานที่สั่งซื้อการพัฒนาระบบก็มีหน้าที่ที่ต้องรับผิดชอบ ถ้ามีความผิดพลาด อาจต้องรับผิดชอบทั้งหมด
ต่อไปนี้ ไม่ใช่ตัวอย่างของการโจมตีทางไซเบอร์ แต่มีตัวอย่างคดีที่ศาลยอมรับความรับผิดชอบของบริษัทผู้ใช้งานทั้งหมด และสั่งให้ชดใช้ความเสียหาย
【ตัวอย่างคดี】ศาลแขวงอาซาฮิคาวะ ปี 29 ฮิเซ (2017)
ผู้ใช้งาน: โรงพยาบาลมหาวิทยาลัย
ผู้ขายระบบ: บริษัทระบบที่ได้รับคำสั่งจากโรงพยาบาลมหาวิทยาลัยในการพัฒนาระบบบันทึกการรักษาผู้ป่วยอิเล็กทรอนิกส์
เริ่มโครงการแล้วไม่นาน มีการขอเพิ่มเติมจากแพทย์ในสถานที่ต่างๆ
การขอเพิ่มเติมไม่หยุด การพัฒนาล่าช้า โรงพยาบาลมหาวิทยาลัยได้แจ้งยกเลิกสัญญาเนื่องจากความล่าช้า
■คำพิพากษา (อุทธรณ์)
สั่งให้โรงพยาบาลมหาวิทยาลัยชดใช้ความเสียหายประมาณ 1.4 พันล้านเยน
ยกเลิกคำพิพากษาในชั้นแรกที่สั่งให้ทั้งสองฝ่ายชดใช้ความเสียหาย
■เหตุผล
・ปัญหาที่โรงพยาบาลไม่ได้ฟังคำเตือนจากผู้ขายระบบว่าถ้าตอบสนองต่อความต้องการเพิ่มเติม จะไม่สามารถส่งมอบได้ตรงตามกำหนดเวลา
คดีนี้เกิดจากการที่บริษัทผู้ใช้งานแจ้งยกเลิกสัญญาเนื่องจากความล่าช้าในการพัฒนาระบบ ทั้งบริษัทผู้ใช้งานและผู้ขายระบบได้ยื่นฟ้องเรียกร้องค่าชดใช้ความเสียหายจากฝ่ายตรงข้าม
ในคำพิพากษา ศาลยอมรับว่าเหตุผลของความล่าช้าในการพัฒนาเกิดจากการที่บริษัทผู้ใช้งานไม่ได้ฟังคำเตือนจากผู้ขายระบบ และยอมรับความรับผิดชอบของบริษัทผู้ใช้งาน 100% และปฏิเสธคำขอเรียกร้องจากบริษัทผู้ใช้งาน สำหรับผู้ขายระบบ มีหน้าที่ในการจัดการโครงการให้สามารถส่งมอบได้ตรงตามกำหนดเวลา ซึ่งเรียกว่า “หน้าที่ในการจัดการโครงการ” ในขณะเดียวกัน บริษัทผู้ใช้งานก็มี “หน้าที่ในการสนับสนุน” ถ้าไม่ปฏิบัติตามหน้าที่นี้ อาจต้องรับผิดชอบทั้งหมด และในคดีจริง ความรับผิดชอบในการชดใช้ความเสียหายจะถูกตัดสินตามสัดส่วนของความผิด
3 ข้อสำคัญสำหรับการพัฒนาระบบที่ปลอดภัย
เพื่อเตรียมตัวให้พร้อมต่อความเสี่ยงทางไซเบอร์ ทั้งผู้ใช้และผู้ขายจำเป็นต้องร่วมมือกันในการดำเนินการป้องกัน
ดังนั้น ในบทความนี้ จะอธิบายเกี่ยวกับมาตรการที่ผู้ขายและผู้ใช้สามารถดำเนินการได้ตามภาวะของตนเอง
ทราบถึงความเสี่ยงทางไซเบอร์ที่หน่วยงานราชการและอื่น ๆ ได้ระบุไว้
ผู้ขายระบบควรตรวจสอบแนวทางที่ได้รับจากหน่วยงานที่เชี่ยวชาญเช่น กระทรวงเศรษฐกิจ อุตสาหกรรมและองค์กรการประมวลผลข้อมูลอิสระ (IPA) ของญี่ปุ่น เพื่อทราบถึงความเสี่ยงทางไซเบอร์ในปัจจุบันและวิธีการป้องกัน แล้วจึงดำเนินการพัฒนาและดำเนินงาน
นอกจากนี้ ไม่เพียงแค่ผู้ขาย แต่บริษัทที่เป็นผู้ใช้ก็ควรทราบถึงเนื้อหาเหล่านี้ในระดับหนึ่ง แล้วขอให้พัฒนาและดำเนินงานตามแนวทางนี้ และใส่ข้อกำหนดเกี่ยวกับระดับความปลอดภัยในสัญญา
อ้างอิง: กระทรวงเศรษฐกิจ อุตสาหกรรมญี่ปุ่น | แนวทางการบริหารความปลอดภัยไซเบอร์ Ver 2.0
อ้างอิง: องค์กรการประมวลผลข้อมูลอิสระญี่ปุ่น | วิธีการสร้างเว็บไซต์ที่ปลอดภัย
โดยเฉพาะในภาคการเงินและอื่น ๆ อาจมีการต้องการระดับความปลอดภัยที่สูงตามกฎหมายและแนวทาง สำหรับมาตรการความปลอดภัยเกี่ยวกับสินทรัพย์ที่เข้ารหัส จะมีการอธิบายอย่างละเอียดในส่วนต่อไปนี้
บทความที่เกี่ยวข้อง: มาตรการความปลอดภัยเกี่ยวกับสินทรัพย์ที่เข้ารหัสคืออะไร? อธิบายพร้อมกับ 3 กรณีของการรั่วไหล
ทั้งสองฝ่ายต้องเข้าใจความจำเป็นของความปลอดภัย
ใน “แนวทางการบริหารความปลอดภัยไซเบอร์ Ver 2.0” ของกระทรวงเศรษฐกิจ อุตสาหกรรมญี่ปุ่น ได้ระบุไว้ชัดเจนว่า “มาตรการความปลอดภัยไซเบอร์เป็นปัญหาในการบริหาร”
ไม่ควรทิ้งทุกอย่างให้ผู้ขายดำเนินการเพราะไม่รู้เรื่องความปลอดภัย แต่บริษัทที่เป็นผู้ใช้ก็ควรคิดถึงการจัดการความเสี่ยงเป็นส่วนหนึ่งของการบริหาร และรับผิดชอบในการดำเนินการป้องกัน
ทั้งสองฝ่ายร่วมมือกันในการจัดการกับการโจมตีทางไซเบอร์
เมื่อถูกโจมตีทางไซเบอร์ ทั้งผู้สั่งซื้อและผู้ขายควรร่วมมือกันในการจำกัดความเสียหายให้น้อยที่สุด แทนที่จะโยนความรับผิดชอบให้กันและกัน
อย่างไรก็ตาม ในการพัฒนาระบบ ผู้สั่งซื้อมักจะมีสถานะที่แข็งแกร่งกว่า ทำให้การพัฒนาระบบมักจะมุ่งเน้นไปที่ค่าใช้จ่ายและระยะเวลา ผู้ขายอาจจะไม่ได้รับเงินและเวลาที่เพียงพอ และอาจไม่สามารถยอมรับข้อเสนอเกี่ยวกับความปลอดภัยได้
อย่างไรก็ตาม ในแนวทาง บริษัทที่เป็นผู้ใช้ควรจะมองการดำเนินการความปลอดภัยเป็น “ค่าใช้จ่าย” แต่ควรจะตำแหน่งว่าเป็นสิ่งที่จำเป็นสำหรับกิจกรรมธุรกิจและการเติบโตในอนาคต และมองว่าเป็น “การลงทุน”
ในการพัฒนาระบบ ผู้ขายและผู้ใช้ควรมีสถานะที่เท่าเทียมกันและร่วมมือกันในการจัดการกับการโจมตีทางไซเบอร์
สรุป: ควรปรึกษาทนายความในการจัดทำสัญญาการพัฒนาระบบ
ในกรณีที่เกิดความเสียหายจากการโจมตีทางไซเบอร์ ผู้ขายที่เกี่ยวข้องกับการพัฒนาระบบอาจถูกติดตามความรับผิดชอบจากฝ่ายบริษัทผู้ใช้งาน หากพบว่าผู้ขายได้ละเว้นการจัดการความเสี่ยงทางไซเบอร์
อย่างไรก็ตาม บริษัทผู้ใช้งานที่ละเว้นหน้าที่ในการสนับสนุนผู้ขายก็มีความรับผิดชอบด้วย
เพื่อลดความเสียหายจากการโจมตีทางไซเบอร์ให้น้อยที่สุด ควรกำหนดระดับของระบบและขอบเขตความรับผิดชอบของแต่ละฝ่ายในสัญญา
ในการจัดทำสัญญาการพัฒนาระบบ ควรปรึกษาทนายความที่มีความรู้เชี่ยวชาญในเนื้อหาของแนวทางและความเสี่ยงทางไซเบอร์ในปัจจุบัน
การแนะนำมาตรการจากสำนักงานทนายความของเรา
สำนักงานทนายความ Monolith เป็นสำนักงานที่มีความเชี่ยวชาญสูงในด้าน IT และกฎหมาย โดยเฉพาะอย่างยิ่งในด้านอินเทอร์เน็ตและกฎหมาย ในการทำสัญญาการพัฒนาระบบ จำเป็นต้องมีการสร้างเอกสารสัญญา สำนักงานทนายความของเราให้บริการในการสร้างและตรวจสอบเอกสารสัญญาสำหรับคดีที่หลากหลาย ตั้งแต่องค์กรที่มีการจดทะเบียนในตลาดหลักทรัพย์ของโตเกียวถึงบริษัทสตาร์ทอัพ หากคุณมีปัญหาเกี่ยวกับเอกสารสัญญา กรุณาอ้างอิงบทความด้านล่างนี้
สาขาที่สำนักงานทนายความ Monolith รับผิดชอบ: กฎหมายที่เกี่ยวข้องกับการพัฒนาระบบ
Category: IT
Tag: CybercrimeIT
