วิธีป้องกันอุบัติการณ์ด้านความปลอดภัยที่บริษัทที่ได้รับมอบหมาย? การสร้างและดำเนินการระบบควบคุมภายในของบริษัทที่สั่งซื้อ

สำหรับองค์กร ตามกฎหมายบริษัทและกฎหมายการซื้อขายสินค้าทางการเงินของญี่ปุ่น (Japanese Company Law and Financial Instruments and Exchange Law) จะกำหนดให้มีการสร้างระบบควบคุมภายใน (Internal Control System) ซึ่งอาจจะดูเหมือนว่ายาก แต่ถ้าอธิบายให้ง่าย ก็คือระบบที่จัดการธุรกิจของบริษัทให้เหมาะสมและป้องกันความเสี่ยง

แล้วระบบควบคุมภายในนี้จะทำงานอย่างไรกับคู่ค้าภายนอกหรือไม่? โดยเฉพาะอย่างยิ่ง องค์กรมักจะมีปัญหาเกี่ยวกับการมอบหมายงานต่างๆ เช่น การขนส่ง การบำรุงรักษา ไปยังภายนอก

ในบทความนี้ จะอธิบายเกี่ยวกับการดำเนินการระบบควบคุมภายในที่สถานที่ที่ได้รับมอบหมาย และมาตรการป้องกันเหตุการณ์การรักษาความปลอดภัย (Security Incident)

ระบบควบคุมภายในคืออะไร

ระบบควบคุมภายในคือวิธีและวิธีการทางองค์กรที่จำเป็นสำหรับการบริหารงานที่เหมาะสมของธุรกิจหรือองค์กร ซึ่งได้รับการนิยามใน ‘Japanese Company Law’ และ ‘Japanese Financial Instruments and Exchange Law’ ตามลำดับ

ตาม ‘Japanese Company Law’ บริษัทต่อไปนี้จำเป็นต้องสร้างระบบควบคุมภายใน:

• บริษัทขนาดใหญ่
• บริษัทที่ตั้งคณะกรรมการการเสนอชื่อ
• บริษัทที่ตั้งคณะกรรมการตรวจสอบ

นอกจากนี้ ‘Japanese Financial Instruments and Exchange Law’ กำหนดให้บริษัทที่ขึ้นสารภาพตลาดต้องสร้างระบบควบคุมภายใน และต้องส่งรายงานควบคุมภายในในแต่ละปีงบประมาณ รายงานควบคุมภายในนี้จำเป็นต้องได้รับการรับรองการตรวจสอบจากผู้สอบบัญชีที่ได้รับการรับรองหรือบริษัทตรวจสอบ

หากเกิดความเสียหายจากการรั่วไหลของข้อมูลหรืออื่น ๆ จากข้อบกพร่องในระบบควบคุมภายใน บริษัทหรือผู้บริหารอาจต้องรับผิดชอบในการชดใช้ความเสียหาย สำหรับระบบควบคุมภายในที่เกี่ยวข้องกับการป้องกันข้อมูล กรุณาอ่านบทความที่เกี่ยวข้องด้านล่างนี้

บทความที่เกี่ยวข้อง: การอธิบายวิธีการป้องกันการรั่วไหลของข้อมูล มาตรการที่ควรจัดเตรียมในระเบียบข้อบังคับภายในบริษัทคืออะไร

ความเสี่ยงที่เกิดขึ้นจากระบบควบคุมภายในในระหว่างการมอบหมายงาน

แม้ว่าบริษัทของคุณจะได้กำหนดระเบียบเกี่ยวกับความปลอดภัยของข้อมูลแล้ว แต่ถ้าบริษัทที่ได้รับมอบหมายงานไม่ได้กำหนดระเบียบเหล่านี้ หรือมีเนื้อหาที่ไม่เพียงพอ อาจเกิดเหตุการณ์ความปลอดภัยที่บริษัทที่ได้รับมอบหมายงานได้

หากเกิดเหตุการณ์ความปลอดภัย แม้ว่าจะเป็นอุบัติเหตุที่เกิดขึ้นที่บริษัทที่ได้รับมอบหมายงาน ภาระการจัดการก็อาจทำให้ภาพลักษณ์ของบริษัทที่มอบหมายงานลดลง

ดังนั้น ในการมอบหมายงาน สำคัญที่จะต้องสร้างระบบที่ไม่ทำให้เกิดเหตุการณ์ความปลอดภัยที่บริษัทที่ได้รับมอบหมายงาน

ระบบควบคุมภายในที่รวมถึงการจัดการผู้รับจ้างจำเป็นต้องมี

เมื่อพิจารณาจากตัวอย่างคดีที่ผ่านมา การจัดตั้งระบบความปลอดภัยของข้อมูลเป็นหนึ่งในปัจจัยสำคัญในการสร้างระบบควบคุมภายใน

หากมีข้อบกพร่องในระบบความปลอดภัยของข้อมูลทำให้บริษัทหรือองค์กรสร้างความเสียหายให้กับบุคคลที่สาม อาจถูกดำเนินคดีว่าผิดหมายเรื่องการสร้างระบบควบคุมภายใน และผู้บริหารอาจถูกดำเนินคดีว่าผิดหมายเรื่องการดูแลรักษาด้วยความระมัดระวังที่ดี นอกจากนี้ หากมีข้อบกพร่องในระบบความปลอดภัยของข้อมูลของผู้รับจ้างทำให้เกิดความเสียหายต่อบุคคลที่สาม บริษัทหรือผู้บริหารที่มอบหมายงานอาจถูกถูกดำเนินคดีด้วย

อย่างไรก็ตาม แม้จะยังไม่มีตัวอย่างคดีที่รับรู้ถึงการร้องขอค่าเสียหายที่มาจากการผิดหมายเรื่องการสร้างระบบควบคุมภายในและการดูแลรักษาด้วยความระมัดระวังที่ดีต่อผู้บริหารที่มอบหมายงาน เมื่อเกิดเหตุการณ์ความปลอดภัยที่ผู้รับจ้าง แต่ในอนาคตอาจมีการยื่นฟ้องที่เกี่ยวข้อง

ความสำคัญของระบบควบคุมภายในที่ได้รับการศึกษาจากกรณีศึกษา

ในที่นี้ เราจะมาดูว่าเมื่อมีการมอบหมายงาน ควรดำเนินการอย่างไรบ้าง โดยอ้างอิงจากกรณีศึกษาในอดีต

กรณีการรั่วไหลของข้อมูลในสถาบันประกันสังคมญี่ปุ่น

ในปี 2015 (ค.ศ. 2015) สถาบันประกันสังคมญี่ปุ่น (Japanese Pension Service) ได้รับการเข้าถึงโดยไม่ชอบด้วยกฎหมายทำให้ข้อมูลรั่วไหล ซึ่งได้ยืนยันว่ามีการรั่วไหลของข้อมูลส่วนบุคคล เช่น หมายเลขประกันสังคมพื้นฐาน ชื่อ และอื่น ๆ

เกี่ยวกับเรื่องนี้ คณะกรรมการตรวจสอบกรณีการรั่วไหลของข้อมูลจากการเข้าถึงโดยไม่ชอบด้วยกฎหมายในสถาบันประกันสังคมญี่ปุ่น (ต่อไปนี้จะเรียกว่า “คณะกรรมการตรวจสอบ”) ได้ถูกจัดตั้งขึ้น และได้สร้างรายงานการตรวจสอบที่สรุปข้อมูลต่าง ๆ ในวันที่ 21 สิงหาคม 2015 ตามรายงานนี้ ระบบ LAN ของสถาบันประกันสังคมญี่ปุ่นถูกโจมตี ทำให้ข้อมูลส่วนบุคคลจำนวนมากในโฟลเดอร์ที่แชร์รั่วไหลออกไป

เมื่อสร้างระบบ มีการกำหนดว่าไม่ควรจัดการข้อมูลส่วนบุคคลบนระบบ LAN แต่ดูเหมือนว่าข้อมูลส่วนบุคคลสามารถถูกนำเข้าไปในโฟลเดอร์ที่แชร์บนระบบ LAN ภายใต้เงื่อนไขบางประการ นอกจากนี้ ระบบ LAN ของสถาบันประกันสังคมญี่ปุ่นไม่ได้ดำเนินการเพื่อรับมือกับการโจมตีเป้าหมาย ทำให้ใช้เวลาในการทราบสถานการณ์หลังจากที่ตระหนักถึงการโจมตี

คณะกรรมการตรวจสอบได้แนะนำมาตรการป้องกันการเกิดขึ้นซ้ำ ได้แก่

• การจัดระบบทรัพยากรมนุษย์ (การจัดตั้งสำนักงานวางแผนการรักษาความปลอดภัย)
• การจัดระบบการตรวจสอบของกระทรวงสวัสดิการและแรงงาน (การจัดระบบความปลอดภัยข้อมูลของกระทรวงสวัสดิการและแรงงาน)
• การจัดระบบทางเทคนิค (การจัดระบบตามความเป็นจริงและความเสี่ยงของธุรกิจ)
• การปฏิรูปความคิดของสถาบันประกันสังคมญี่ปุ่น

เป็นต้น

นอกจากนี้ มีเพียงข้อตกลงทั่วไปเกี่ยวกับการป้องกันความปลอดภัยของข้อมูลระหว่างผู้รับมอบหมาย แต่ไม่มีข้อตกลงชัดเจนเกี่ยวกับการตอบสนองเมื่อเกิดอุบัติการจริง ทำให้การตอบสนองช้าลงและความเสียหายมากขึ้น (ที่มา: รายงานการตรวจสอบวันที่ 21 สิงหาคม ปี 27 ของฮีเซย์ (ค.ศ. 2015) ของกระทรวงสวัสดิการและแรงงาน รายงานการตรวจสอบวันที่ 21 สิงหาคม ปี 27 ของฮีเซย์)

เพื่อป้องกันสถานการณ์เช่นนี้

• ควรทำสัญญาข้อตกลงระดับบริการ (Service Level Agreement, SLA) โดยมีรายละเอียดที่เฉพาะเจาะจง
• ควรมีข้อตกลงชัดเจนว่าผู้รับมอบหมายจะต้องตอบสนองในสถานการณ์ฉุกเฉิน

เป็นต้น

สัญญาข้อตกลงระดับบริการ (Service Level Agreement, SLA) คือสัญญาที่ทำระหว่างผู้ให้บริการและผู้รับบริการ เกี่ยวกับคุณภาพของบริการ ขอบเขตการใช้งาน วิธีการรับบริการ ความรับผิดชอบและค่าใช้จ่าย นอกจากนี้ การมีข้อตกลงล่วงหน้าเกี่ยวกับการตอบสนองเมื่อเกิดอุบัติการจะทำให้สามารถตอบสนองอย่างรวดเร็วและเหมาะสมได้

กรณีการรั่วไหลของข้อมูลส่วนบุคคลในบริษัทเบเนสเซ่

ในปี 2014 (พ.ศ. 2557) ได้เกิดกรณีการรั่วไหลของข้อมูลส่วนบุคคลในบริษัทเบเนสเซ่ ซึ่งเกิดจากการที่พนักงานของบริษัทที่ได้รับมอบหมายได้ทำการคัดลอกข้อมูลลูกค้าและขายให้กับผู้ประกอบการรายชื่อ ทำให้ข้อมูลส่วนบุคคลของลูกค้าประมาณ 29.89 ล้านรายได้รั่วไหลออกไป

สาเหตุของกรณีนี้คือ ทั้งที่ได้มอบสิทธิ์การเข้าถึงข้อมูลให้กับบริษัทที่ได้รับมอบหมายและบริษัทที่ได้รับมอบหมายอีกชั้นหนึ่ง แต่ยังไม่มีระบบการตรวจสอบที่เพียงพอเพื่อป้องกันการรั่วไหลของข้อมูล

วิธีการแก้ไขที่เสนอมาคือ:

• การกำหนดขอบเขตของงานและขอบเขตการเข้าถึงข้อมูลของบริษัทที่ได้รับมอบหมายในสัญญาอย่างชัดเจน
• การดำเนินการตรวจสอบบริษัทที่ได้รับมอบหมายอย่างประจำ
• การกำหนดหน้าที่ให้บริษัทที่ได้รับมอบหมายรายงานเกี่ยวกับระบบการตรวจสอบ
• การกำหนดบุคคลที่จะจัดการข้อมูลที่สำคัญในบริษัทที่ได้รับมอบหมายและดำเนินการตรวจสอบ

เป็นต้น

ทั้งนี้ หลังจากเหตุการณ์นี้ ลูกค้าหนึ่งรายได้ยื่นฟ้องร้องเรียกร้องค่าเสียหายจากบริษัทเบเนสเซ่เป็นจำนวน 100,000 เยน เนื่องจากข้อมูลส่วนบุคคลของตนเองและลูกของตนได้รั่วไหลออกไปในเหตุการณ์นี้

ในคดีชั้นแรกและชั้นอุทธรณ์ ลูกค้าได้รับการพิพากษาแพ้คดี แต่ตามคำตัดสินของศาลฎีกาวันที่ 23 ตุลาคม พ.ศ. 2560 (ฮ.29)

“การที่ไม่ได้ตรวจสอบอย่างเพียงพอเกี่ยวกับการเกิดความเสียหายทางจิตใจของผู้ฟ้องร้องจากการละเมิดความเป็นส่วนตัว รวมถึงระดับของความเสียหาย และเพียงเพราะไม่มีการอ้างและพิสูจน์ว่ามีความเสียหายที่เกินกว่าความไม่พอใจ จึงไม่ควรที่จะปฏิเสธคำร้องของผู้ฟ้องร้องโดยทันที”

คดีการร้องขอค่าเสียหาย หมายเลข 1892 (ฮ.28) คำตัดสินวันที่ 23 ตุลาคม พ.ศ. 2560 ศาลฎีกาชั้นสอง

ซึ่งได้ทำการยกเลิกคำตัดสินชั้นอุทธรณ์และส่งคดีกลับไปยังศาลอุทธรณ์ที่โอซาก้า

วันที่ 20 พฤศจิกายน พ.ศ. 2562 ศาลอุทธรณ์ที่โอซาก้าได้รับรู้ถึงการละเมิดความเป็นส่วนตัวและสั่งให้บริษัทเบเนสเซ่ชำระเงิน 1,000 เยน

ในคดีชั้นแรกและชั้นอุทธรณ์ ไม่เพียงแค่การละเมิดความเป็นส่วนตัว แต่ยังมีการเน้นว่ามีความเสียหายที่เกิดขึ้นจริงหรือไม่ แต่ในศาลฎีกา ความเสียหายไม่ว่าจะมีหรือไม่ ถ้ามีการละเมิดความเป็นส่วนตัวก็ควรที่จะตรวจสอบ ในกรณีอื่น ๆ ของการรั่วไหลข้อมูล มีการรับรู้คำร้องขอค่าเสียหายที่เกิดจากการรั่วไหลข้อมูลอยู่มาก และคำตัดสินของศาลฎีกานี้ถือว่าเป็นการปฏิบัติที่ตามกระแสนั้น

สรุป: ควรปรึกษาทนายความเกี่ยวกับระบบควบคุมภายใน

เพื่อการบริหารจัดการที่สุขภาพดีของบริษัทหรือองค์กร จำเป็นต้องสร้างและดำเนินการระบบควบคุมภายในอย่างเหมาะสม ในกรณีที่ผู้รับจ้างทำให้เกิดเหตุการณ์ด้านความปลอดภัย เช่น การรั่วไหลของข้อมูล ผู้มอบหมายอาจถูกตั้งข้อหาความรับผิดชอบ และไม่สามารถหลีกเลี่ยงการส่งผลกระทบต่อภาพลักษณ์ขององค์กรได้ ดังนั้น จึงจำเป็นต้องสร้างระบบที่ทำให้ระบบควบคุมภายในทำงานได้อย่างเต็มประสิทธิภาพที่ผู้รับจ้างล่วงหน้าเพื่อหลีกเลี่ยงสถานการณ์ดังกล่าว

กรุณาปรึกษาทนายความเกี่ยวกับการสร้างและดำเนินการระบบควบคุมภายใน ซึ่งรวมถึงการจัดระบบความปลอดภัยข้อมูล

การแนะนำมาตรการจากสำนักงานทนายความของเรา

สำนักงานทนายความ Monolith เป็นสำนักงานที่มีความเชี่ยวชาญสูงในด้าน IT โดยเฉพาะอินเทอร์เน็ตและกฎหมาย ความจำเป็นในการตรวจสอบความถูกต้องทางกฎหมายในการสร้างและดำเนินการระบบควบคุมภายในขององค์กรกำลังเพิ่มขึ้นอย่างต่อเนื่อง รายละเอียดเพิ่มเติมได้ระบุไว้ในบทความด้านล่างนี้

สาขาที่สำนักงานทนายความ Monolith รับผิดชอบ: กฎหมายบริษัท IT และสตาร์ทอัพ