Müteahhitlerin Güvenlik İhlallerini Nasıl Önleriz? Sipariş Verenin İç Kontrol Sisteminin Kurulumu ve İşletilmesi Hakkında Açıklama

Şirketlere, Japon Şirketler Kanunu ve Japon Finansal Ürünler Ticaret Kanunu gereği, iç kontrol sistemi oluşturma zorunluluğu getirilmiştir. “İç kontrol sistemi” karmaşık gibi görünebilir, ancak basitçe ifade etmek gerekirse, bu sistem, şirketin işlerini uygun bir şekilde yürütme ve riskleri önleme düzenidir.

Peki, iç kontrol sistemi dış ticaret ortaklarıyla olan ilişkilerde nasıl işlev görür? Özellikle, şirketlerin lojistik, bakım gibi çeşitli işlemleri dışarıya devretme durumları sıkça karşılaşıldığından bu bir sorun haline gelir.

Bu makalede, devredilen işlemlerde iç kontrol sisteminin işleyişi ve güvenlik olaylarını önlemek için alınması gereken önlemler hakkında bilgi verilecektir.

İç Kontrol Sistemi Nedir?

İç kontrol sistemi, bir şirketin veya organizasyonun uygun bir şekilde yönetilmesi için gereken organizasyonel araçları ve yöntemleri ifade eder ve bu, Japon Şirketler Kanunu ve Japon Finansal Enstrüman ve Borsa Kanunu’nda tanımlanmıştır.

Japon Şirketler Kanunu’na göre, aşağıdaki şirketlerin iç kontrol sistemini oluşturması gerekmektedir:

• Büyük şirketler
• Atama Komitesi Kuruluşları
• Denetim Komitesi Kuruluşları

Ayrıca, Japon Finansal Enstrüman ve Borsa Kanunu’na göre, halka açık şirketlere iç kontrol sistemi oluşturma yükümlülüğü getirilmiştir ve her iş yılında iç kontrol raporu sunmaları gerekmektedir. Bu iç kontrol raporu, bir sertifikalı muhasebeci veya denetim firması tarafından denetlenmelidir.

İç kontrol sisteminin eksikliği nedeniyle bilgi sızıntısı gibi durumlar oluşursa ve zarar meydana gelirse, şirket veya yönetim kurulu üyeleri tazminat sorumluluğu taşıyabilir. Bilgi koruma ile ilgili iç kontrol sistemleri hakkında daha ayrıntılı bilgi için aşağıdaki makaleye bakınız.

İlgili Makale: Bilgi Sızıntısını Önleme Önlemleri ve Kurulması Gereken Şirket İçi Düzenlemelerin İçeriği [ja]

İş Tevdi Sırasında Ortaya Çıkabilecek İç Kontrol Sistemleri Üzerindeki Riskler

Kendi şirketinizde bilgi güvenliği ile ilgili düzenlemeler yapmış olsanız bile, işi tevdi ettiğiniz yerin bu tür düzenlemeleri yapmamış olması veya içeriğinin yetersiz olması durumunda, tevdi edilen yerde bir güvenlik olayının meydana gelme olasılığı vardır.

Bir güvenlik olayı meydana geldiğinde, hatta bu bir iş kazası olsa bile, yönetim sorumluluğu olan tevdi eden şirketin imajının düşme riski vardır.

Bu nedenle, iş tevdi ederken, tevdi edilen yerde de güvenlik olaylarının meydana gelmemesi için bir sistem oluşturmanın önemli olduğunu unutmayın.

İç Kontrol Sistemi, Taşeron Yönetimini de İçermelidir

Önceki kararlar göz önüne alındığında, bilgi güvenliği sisteminin oluşturulması, bir iç kontrol sistemi oluşturmanın önemli bir unsuru olmaktadır.

Bir şirket veya organizasyonun bilgi güvenliği sisteminde bir eksiklik nedeniyle üçüncü bir tarafa zarar vermesi durumunda, iç kontrol sistemi oluşturma yükümlülüğünü ihmal ettiği gerekçesiyle, yönetim kurulu üyeleri de iyi yönetim yükümlülüğünü ihlal etme riskiyle karşı karşıya kalabilir. Ayrıca, taşeronun bilgi güvenliği sisteminde bir eksiklik olması ve bu durumun üçüncü bir tarafa zarar vermesi durumunda, taşeronu tutan şirket veya yönetim kurulu üyelerinin sorumluluğu da söz konusu olabilir.

Not: Taşeronda yönetim eksikliği nedeniyle bir güvenlik olayı meydana geldiğinde, taşeronu tutan yönetim kurulu üyelerine karşı, iç kontrol sistemi oluşturma yükümlülüğünün ihlali gerekçesiyle iyi yönetim yükümlülüğünün ihlali temelinde tazminat talepleri kabul edilmiş bir örnek henüz görülmemiştir, ancak gelecekte dava açılma olasılığı olduğu düşünülmektedir.

Örneklerle İç Kontrol Sisteminin Önemini Öğrenin

Burada, işleri dış kaynaklara devrederken, geçmiş örnekler göz önünde bulundurularak hangi önlemlerin alınması gerektiğine bakacağız.

Japonya Emeklilik Kurumu’ndaki Bilgi Sızıntısı Olayı

2015 yılında, Japonya Emeklilik Kurumu’nda yetkisiz erişim sonucu bilgi sızıntısı yaşandı ve temel emeklilik numarası, isimler gibi kişisel bilgilerin sızdığı doğrulandı.

Bu konuyla ilgili olarak, Japonya Emeklilik Kurumu’ndaki yetkisiz erişim sonucu bilgi sızıntısı olayını incelemek üzere bir İnceleme Komitesi (bundan sonra “İnceleme Komitesi” olarak anılacaktır) kuruldu ve 21 Ağustos 2015 tarihli (2015) bir inceleme raporu hazırlandı. Bu rapora göre, Japonya Emeklilik Kurumu’nun LAN sistemi saldırıya uğradı ve paylaşılan klasörlerdeki büyük miktarda kişisel bilgi sızdı.

Sistem kurulduğunda, LAN sistemi üzerinde kişisel bilgilerin işlenmemesi gerektiği belirlenmişti, ancak belirli koşullar altında LAN sistemi üzerindeki paylaşılan klasörlere kişisel bilgilerin eklenmesine izin verilmiş gibi görünüyor. Ayrıca, Japonya Emeklilik Kurumu’nun LAN sistemi, hedefli saldırılara karşı uygun bir şekilde işletilmemişti, bu yüzden saldırıyı fark ettikten sonra durumu anlamak zaman aldı.

İnceleme Komitesi, tekrarlanan olayları önlemek için aşağıdaki önlemleri önermiştir:

• İnsan kaynakları yapısının düzenlenmesi (Güvenlik önlemleri merkezinin kurulması vb.)
• Sağlık, Çalışma ve Refah Bakanlığı’nın denetim yapısının düzenlenmesi (Bakanlık’ın bilgi güvenliği yapısının düzenlenmesi vb.)
• Teknik düzenlemeler (İş gerçekleri ve risklere dayalı sistem düzenlemeleri vb.)
• Japonya Emeklilik Kurumu’nun farkındalığının değiştirilmesi

bu önlemleri önermiştir.

Ayrıca, hizmet sağlayıcı ile genel bir bilgi güvenliği koruma anlaşması yapılmış olmasına rağmen, gerçek bir olay meydana geldiğinde somut eylemler hakkında net bir anlaşma yapılmamıştı. Bu nedenle, yanıt gecikti ve zarar büyüdü. (Kaynak: Sağlık, Çalışma ve Refah Bakanlığı “21 Ağustos 2015 tarihli İnceleme Raporu [ja]“)

Bu tür durumları önlemek için,

• Hizmet Seviyesi Anlaşmasını somut içerikle yapmak
• Acil durum yanıtının hizmet sağlayıcı tarafından yapılacağına dair net bir anlaşma yapmak

gibi önlemler gereklidir.

Hizmet Seviyesi Anlaşması (Service Level Agreement, SLA), hizmeti sağlayan taraf ile hizmeti alan taraf arasında, hizmetin kalitesi, uygulama kapsamı, alım yöntemi, sorumluluk ve maliyetler hakkında bir anlaşma yapmayı ifade eder. Ayrıca, bir olayın meydana gelmesi durumunda önceden anlaşma yapılması, hızlı ve uygun bir yanıt verilmesini mümkün kılar.

Benesse Corporation’da Kişisel Bilgi Sızıntı Olayı

2014 yılında, Benesse Corporation’da bir kişisel bilgi sızıntı olayı meydana geldi. Bu olay, bir taşeron çalışanının müşteri verilerini kopyalayıp bir liste satıcısına satması sonucu, yaklaşık 29,89 milyon müşteri bilgisinin sızmasına neden oldu.

Bu olayın nedeni olarak, veri erişim haklarının taşeronlara ve hatta alt taşeronlara verilmiş olmasına rağmen, bilginin sızmasını önlemek için yeterli bir izleme sistemi olmaması gösterilebilir.

Alınabilecek önlemler arasında:

• Taşeronun iş kapsamını ve bilgiye erişim kapsamını sözleşmede açıkça tanımlamak
• Taşeronlara düzenli denetimler yapmak
• Taşeronlara izleme sistemi hakkında raporlama yükümlülüğü getirmek
• Taşeronlarda önemli bilgileri ele alacak kişileri belirlemek ve denetlemek

gibi önlemler düşünülebilir.

Ayrıca, daha sonra bir müşteri, bu olayda kendisinin ve çocuğunun kişisel bilgilerinin sızdırıldığı gerekçesiyle, hizmet sağlayıcı Benesse Corporation’a karşı 100.000 yen tazminat talep eden bir dava açtı.

Birinci ve ikinci derece mahkemelerde müşteri tarafı dava kaybetti, ancak 23 Ekim 2017 (Heisei 29) tarihli Yüksek Mahkeme kararı ile,

“Davacının ruhsal zararının varlığı ve derecesi hakkında yeterli bir inceleme yapılmadan, rahatsızlık hissi gibi zararların ötesinde bir zararın meydana geldiği iddiası ve kanıtı olmadığı gerekçesiyle, davacının talebinin hemen reddedilmesi gerektiği”

Heisei 28 yılı (Dava) No. 1892 Tazminat Talebi Olayı, 23 Ekim 2017, İkinci Küçük Mahkeme Kararı [ja]

şeklinde, ikinci derece mahkeme kararını bozdu ve davayı Osaka Yüksek Mahkemesi’ne geri gönderdi.

20 Kasım 2019’da, Osaka Yüksek Mahkemesi, gizlilik ihlalini kabul etti ve Benesse Corporation’a 1.000 yen ödeme yapılmasını emretti.

Birinci ve ikinci derece mahkemelerde, sadece gizlilik ihlali değil, aynı zamanda gerçekten bir zararın meydana gelip gelmediği de önemliydi, ancak Yüksek Mahkeme, zararın varlığına bakılmaksızın gizlilik ihlalinin olduğu konusunda duruşma yapılması gerektiğine karar verdi. Diğer bilgi sızıntı olaylarında da, bilgi sızıntısına dayalı tazminat taleplerini kabul eden durumlar çoktur ve bu Yüksek Mahkeme kararının, bu eğilime uygun olduğu düşünülebilir.

Özet: İç Kontrol Sistemleri Hakkında Bir Avukata Danışın

Bir şirketin veya organizasyonun sağlıklı bir şekilde yönetilmesi için, iç kontrol sistemlerini uygun bir şekilde oluşturmak ve işletmek gereklidir. Hizmet aldığınız bir kuruluşun bilgi sızıntısı gibi bir güvenlik olayına neden olması durumunda bile, hizmeti veren kuruluşun sorumluluğu sorgulanabilir ve şirket imajı zarar görebilir. Bu tür durumları önlemek için, hizmet aldığınız kuruluşta da iç kontrol sisteminin tam olarak işlev göreceği bir yapıyı önceden oluşturmanız gerekmektedir.

İç kontrol sistemlerinin oluşturulması ve işletilmesi, bilgi güvenliği sistemlerinin kurulmasını da içerir. Bu konuda bir avukata danışmanızı öneririz.

Büromuzun Sunduğu Çözümler

Monolith Hukuk Bürosu, özellikle IT ve hukuk alanlarında yüksek uzmanlığa sahip bir hukuk firmasıdır. İç kontrol sistemlerinin oluşturulması ve işletilmesi ile ilgili hukuki denetimlerin gerekliliği giderek artmaktadır. Ayrıntıları aşağıdaki makalede belirttik.

Monolith Hukuk Bürosu’nun hizmet verdiği alanlar: IT ve Girişim Şirketleri Hukuku [ja]