Як запобігти інцидентам безпеки у дорученому місці? Роз'яснення створення та використання внутрішньої системи контролю замовника

Законодавство, таке як Японський закон про корпорації та Японський закон про фінансові інструменти, вимагає від компаній створення системи внутрішнього контролю. Термін “система внутрішнього контролю” може здатися складним, але, простими словами, це система, яка допомагає компанії ефективно управляти своєю діяльністю та запобігати ризикам.

Але як система внутрішнього контролю функціонує в контексті відносин з зовнішніми контрагентами? Це стає проблемою, особливо враховуючи, що компанії часто передають на аутсорсинг різні види діяльності, такі як логістика та обслуговування.

У цій статті ми розглянемо питання управління системою внутрішнього контролю у контрагентів та заходи, які допомагають запобігти інцидентам з безпекою.

Що таке система внутрішнього контролю

Система внутрішнього контролю – це організаційні засоби та методи, необхідні для належного управління компанією або організацією, які визначені в Японському корпоративному законодавстві та Законі про фінансові інструменти.

Згідно з Японським корпоративним законодавством, наступні компанії зобов’язані створювати систему внутрішнього контролю:

• Великі компанії
• Компанії з комітетами по призначенню
• Компанії з комітетами з аудиту

Також, згідно з Законом про фінансові інструменти, публічні компанії зобов’язані створювати систему внутрішнього контролю і подавати звіт про внутрішній контроль щорічно. Цей звіт про внутрішній контроль повинен бути підтверджений аудитором або аудиторською фірмою.

Якщо через недоліки в системі внутрішнього контролю виникає витік інформації та виникають збитки, компанія та її директори можуть нести відповідальність за відшкодування збитків. Детальніше про систему внутрішнього контролю щодо захисту інформації описано в наступній статті, будь ласка, ознайомтеся з нею.

Пов’язана стаття: Опис заходів щодо запобігання витоку інформації. Що має бути в регламентах компанії[ja]

Ризики в системі внутрішнього контролю, які можуть виникнути під час замовлення послуг

Навіть якщо ваша компанія встановила власні правила з інформаційної безпеки, можливість виникнення інцидентів з безпекою може бути, якщо компанія-постачальник не встановила таких правил або якщо їх зміст недостатній.

У випадку виникнення інциденту з безпекою, навіть якщо це сталося у компанії-постачальника, існує ризик зниження іміджу компанії-замовника, яка несе відповідальність за управління.

Тому, при замовленні послуг, важливо створити систему, яка запобігатиме виникненню інцидентів з безпекою та інших подібних проблем у компанії-постачальника.

Необхідна система внутрішнього контролю, що включає управління замовниками

Враховуючи судову практику, розробка системи інформаційної безпеки є одним з важливих елементів побудови системи внутрішнього контролю.

Якщо через недоліки в системі інформаційної безпеки компанія або організація завдає шкоди третій стороні, можливо, що директора можуть бути звинувачені в порушенні обов’язку доброго управління через невиконання обов’язку створення системи внутрішнього контролю. Крім того, якщо через недоліки в системі інформаційної безпеки замовника виникає шкода для третьої сторони, можливо, що відповідальність буде покладена на компанію-замовника або її директора.

Хоча поки що не відомо про випадки, коли було визнано право на вимогу про відшкодування збитків на основі порушення обов’язку доброго управління через порушення обов’язку створення системи внутрішнього контролю від директорів замовників у випадку виникнення інциденту безпеки через недоліки в управлінні замовником, в майбутньому можливе винесення позовів.

Важливість внутрішньої контрольної системи на прикладах

Тут ми розглянемо, які заходи слід вжити при здійсненні аутсорсингу послуг, враховуючи попередні випадки.

Випадок витоку інформації в Японському пенсійному фонді

У 2015 році (Heisei 27) в Японському пенсійному фонді стався витік інформації через несанкціонований доступ, в результаті чого було підтверджено витік особистої інформації, такої як номери базових пенсій та імена.

У зв’язку з цим було створено Комітет з перевірки випадків витоку інформації через несанкціонований доступ в Японському пенсійному фонді (далі – Комітет з перевірки), який у своєму звіті від 21 серпня 2015 року описав обставини цього випадку. Згідно з цим звітом, система LAN Японського пенсійного фонду була атакована, в результаті чого велика кількість особистої інформації витекла з спільних папок.

Під час створення системи було вирішено, що особиста інформація не буде оброблятися в системі LAN, але, здається, під певними умовами особиста інформація могла бути поміщена в спільні папки системи LAN. Крім того, система LAN Японського пенсійного фонду не була налаштована на роботу з цільовими атаками, тому виявлення атаки та розуміння ситуації зайняло багато часу.

Комітет з перевірки пропонує такі заходи для запобігання повторенню:

• Створення людської структури (створення головного відділу з питань безпеки)
• Створення системи нагляду Міністерства охорони здоров’я, праці та добробуту (створення системи інформаційної безпеки Міністерства охорони здоров’я, праці та добробуту)
• Технічне вдосконалення (створення системи на основі реального стану справ і ризиків)
• Зміна свідомості в Японському пенсійному фонді

Крім того, через відсутність чіткої домовленості про конкретні дії у випадку реального інциденту, лише загальна домовленість про захист інформаційної безпеки була досягнута з контрагентом, що призвело до затримки в реагуванні та збільшення збитків. (Джерело: Міністерство охорони здоров’я, праці та добробуту “Звіт з перевірки від 21 серпня 2015 року[ja]“)

Щоб запобігти таким ситуаціям, необхідно:

• Укласти договір про рівень обслуговування з конкретними умовами
• Чітко домовитися про те, що контрагент буде реагувати в надзвичайних ситуаціях

Договір про рівень обслуговування (Service Level Agreement, SLA) – це договір, який укладається між стороною, що надає послуги, та стороною, що отримує послуги, і який визначає якість послуг, область застосування, спосіб отримання, відповідальність та витрати. Крім того, попередня домовленість про реагування на інциденти дозволяє швидко та ефективно реагувати на них.

Випадок витоку особистої інформації в корпорації “Бенессе”

У 2014 році стався випадок витоку особистої інформації в корпорації “Бенессе”. Це сталося через те, що працівник компанії-підрядника скопіював дані клієнтів та продав їх компанії, що займається реєстрацією, в результаті чого було викрадено приблизно 29,89 мільйонів записів клієнтів.

Причиною цього випадку було те, що, незважаючи на те, що права доступу до даних були надані підрядникам та підпідрядникам, не було достатньої системи контролю, щоб запобігти витоку інформації.

Можливі заходи щодо цього:

• Чітко визначити в договорі обсяг робіт підрядника та обсяг доступу до інформації
• Проведення регулярного аудиту підрядників
• Накладання обов’язку звітувати про систему контролю на підрядників
• Визначення осіб, які обробляють важливу інформацію у підрядниках, та проведення їх перевірки

Один з клієнтів після цього випадку подав до суду на корпорацію “Бенессе”, вимагаючи відшкодування збитків у розмірі 100 000 єн за витік його особистої інформації та інформації його дитини.

У першій та другій інстанціях клієнт програв, але за рішенням Верховного Суду від 23 жовтня 2017 року (рік Хейсей 29),

“Відхилення вимоги апелянта без достатнього розгляду наявності та ступеня психічної шкоди апелянта внаслідок порушення приватності, та того, чи були пред’явлені та доведені твердження про виникнення шкоди, що перевищує неприємні відчуття”

Рішення від 23 жовтня 2017 року (рік Хейсей 29) по справі №1892 про вимогу відшкодування збитків[ja]

було скасовано рішення другої інстанції та справу було передано на розгляд до Осаки Вищого Суду.

20 листопада 2019 року Вищий Суд Осаки визнав порушення приватності та наклав на корпорацію “Бенессе” обов’язок сплатити 1 000 єн.

У першій та другій інстанціях основним питанням було не лише порушення приватності, але й те, чи виникли реальні збитки. Однак Верховний Суд вирішив, що слід розглянути питання про порушення приватності, незалежно від наявності збитків. У інших випадках витоку інформації часто визнають вимоги про відшкодування збитків на основі витоку інформації, тому це рішення Верховного Суду можна вважати відповідним цьому тренду.

Підсумок: звертайтеся до адвоката щодо системи внутрішнього контролю

Для здорового управління компанією або організацією необхідно належним чином створювати та використовувати систему внутрішнього контролю. Навіть якщо контрагент спричинив інцидент з безпекою інформації, такий як витік інформації, існує можливість, що відповідальність буде покладена на замовника, і він не зможе уникнути погіршення іміджу компанії. Щоб уникнути такої ситуації, необхідно заздалегідь створити механізм, який забезпечить належну роботу системи внутрішнього контролю у контрагента.

Будь ласка, звертайтеся до адвоката щодо створення та використання системи внутрішнього контролю, включаючи систему безпеки інформації.

Інформація про заходи, що вживаються нашим бюро

Юридичне бюро “Моноліт” – це юридична фірма, яка має високу спеціалізацію в області ІТ, особливо в інтернеті та праві. Потреба в юридичній перевірці стосовно створення та управління системами внутрішнього контролю все більше зростає. Деталі описані в статті нижче.

Сфери діяльності юридичного бюро “Моноліт”: Юридичні питання ІТ та стартапів[ja]