Làm thế nào để ngăn chặn sự cố bảo mật tại đơn vị được ủy quyền? Giải thích việc xây dựng và vận hành hệ thống kiểm soát nội bộ của đơn vị đặt hàng

Doanh nghiệp có nghĩa vụ xây dựng hệ thống kiểm soát nội bộ theo quy định của ‘Luật Công ty Nhật Bản’ và ‘Luật Giao dịch Sản phẩm Tài chính Nhật Bản’. ‘Hệ thống kiểm soát nội bộ’ có thể cảm thấy khó khăn, nhưng nói một cách đơn giản, đó là hệ thống để vận hành công việc của công ty một cách phù hợp và ngăn chặn rủi ro.

Vậy thì, hệ thống kiểm soát nội bộ hoạt động như thế nào trong quan hệ với đối tác giao dịch bên ngoài? Đặc biệt, vấn đề phát sinh do doanh nghiệp thường xuyên ủy thác các công việc như vận chuyển và bảo dưỡng cho bên ngoài.

Bài viết này sẽ giải thích về việc vận hành hệ thống kiểm soát nội bộ tại nơi được ủy thác và các biện pháp để ngăn chặn sự cố bảo mật.

Hệ thống kiểm soát nội bộ là gì

Hệ thống kiểm soát nội bộ là phương tiện và phương pháp tổ chức cần thiết để doanh nghiệp và tổ chức tiến hành quản lý phù hợp, được định rõ trong ‘Luật Công ty Nhật Bản’ và ‘Luật Giao dịch Sản phẩm Tài chính Nhật Bản’.

Theo ‘Luật Công ty Nhật Bản’, các công ty sau đây có nghĩa vụ xây dựng hệ thống kiểm soát nội bộ:

• Công ty lớn
• Công ty có hội đồng chỉ định
• Công ty có hội đồng kiểm toán

Đồng thời, theo ‘Luật Giao dịch Sản phẩm Tài chính Nhật Bản’, các công ty niêm yết có nghĩa vụ xây dựng hệ thống kiểm soát nội bộ và phải nộp báo cáo kiểm soát nội bộ hàng năm. Báo cáo kiểm soát nội bộ này cần phải được chứng nhận bởi kế toán công chứng hoặc công ty kiểm toán.

Nếu có sự cố rò rỉ thông tin hoặc tương tự do hệ thống kiểm soát nội bộ không tốt, công ty và giám đốc có thể phải chịu trách nhiệm bồi thường thiệt hại. Đối với hệ thống kiểm soát nội bộ liên quan đến bảo vệ thông tin, vui lòng tham khảo bài viết chi tiết dưới đây.

Bài viết liên quan: Giải thích biện pháp ngăn chặn rò rỉ thông tin và nội dung của quy định nội bộ cần thiết[ja]

Rủi ro trên hệ thống kiểm soát nội bộ có thể xảy ra khi ủy thác công việc

Ngay cả khi công ty của bạn đã thiết lập các quy định liên quan đến bảo mật thông tin, nếu đơn vị được ủy thác không thiết lập các quy định như vậy hoặc nếu nội dung không đầy đủ, có khả năng xảy ra sự cố bảo mật tại đơn vị được ủy thác.

Khi xảy ra sự cố bảo mật, ngay cả khi đó là một tai nạn xảy ra tại đơn vị được ủy thác, có rủi ro là hình ảnh của công ty ủy thác, nơi có trách nhiệm quản lý, sẽ bị giảm đi.

Do đó, khi ủy thác công việc, việc xây dựng một hệ thống để không gây ra sự cố bảo mật và các vấn đề khác tại đơn vị được ủy thác là rất quan trọng.

Hệ thống kiểm soát nội bộ bao gồm quản lý đối tác là cần thiết

Xét từ các ví dụ phán quyết, việc xây dựng hệ thống an ninh thông tin là một yếu tố quan trọng trong việc xây dựng hệ thống kiểm soát nội bộ.

Nếu do hệ thống an ninh thông tin có sự cố mà công ty hoặc tổ chức gây thiệt hại cho bên thứ ba, có thể sẽ đặt ra vấn đề về vi phạm nghĩa vụ quản lý tốt do đã bỏ qua nghĩa vụ xây dựng hệ thống kiểm soát nội bộ đối với người quản lý. Ngoài ra, nếu hệ thống an ninh thông tin của đối tác có sự cố và gây ra thiệt hại cho bên thứ ba, công ty hoặc người quản lý giao việc cũng có thể phải chịu trách nhiệm.

Tuy chưa có ví dụ nào xác nhận rằng khi có sự cố an ninh do quản lý không tốt ở đối tác, người quản lý giao việc có thể bị yêu cầu bồi thường thiệt hại dựa trên vi phạm nghĩa vụ quản lý tốt do vi phạm nghĩa vụ xây dựng hệ thống kiểm soát nội bộ, nhưng trong tương lai có thể sẽ có khả năng bị kiện.

Tìm hiểu về tầm quan trọng của hệ thống kiểm soát nội bộ qua các ví dụ thực tế

Ở đây, chúng ta sẽ xem xét những biện pháp nào cần thực hiện khi giao việc cho bên ngoài, dựa trên các ví dụ từ quá khứ.

Vụ rò rỉ thông tin tại Cơ quan Bảo hiểm Nhật Bản

Vào năm 2015 (năm 27 của thời kỳ Heisei), tại Cơ quan Bảo hiểm Nhật Bản, đã xảy ra sự cố rò rỉ thông tin do truy cập trái phép, và đã xác nhận việc rò rỉ thông tin cá nhân như số bảo hiểm cơ bản và tên người dùng.

Về vụ việc này, Ủy ban Kiểm tra Sự cố Rò rỉ Thông tin do Truy cập Trái phép tại Cơ quan Bảo hiểm Nhật Bản (sau đây gọi là Ủy ban Kiểm tra) đã được thành lập, và đã tạo ra Báo cáo Kiểm tra ngày 21 tháng 8 năm 2015 (năm 27 của thời kỳ Heisei), tổng hợp các sự kiện liên quan. Theo báo cáo này, hệ thống LAN của Cơ quan Bảo hiểm Nhật Bản đã bị tấn công, và một lượng lớn thông tin cá nhân trong thư mục chia sẻ đã bị rò rỉ.

Khi xây dựng hệ thống, dự kiến sẽ không xử lý thông tin cá nhân trên hệ thống LAN, nhưng dường như đã cho phép đưa thông tin cá nhân vào thư mục chia sẻ trên hệ thống LAN dưới một số điều kiện nhất định. Ngoài ra, hệ thống LAN của Cơ quan Bảo hiểm Nhật Bản không được vận hành để có thể đối phó với các cuộc tấn công mục tiêu, do đó, mất thời gian để nắm bắt tình hình sau khi phát hiện cuộc tấn công.

Ủy ban Kiểm tra đã đề xuất các biện pháp phòng ngừa tái phát như:

• Xây dựng cơ cấu tổ chức con người (thành lập Trung tâm Biện pháp An ninh, v.v.)
• Xây dựng hệ thống giám sát của Bộ Lao động, Y tế và Phúc lợi (xây dựng hệ thống an ninh thông tin của Bộ Lao động, Y tế và Phúc lợi, v.v.)
• Xây dựng kỹ thuật (xây dựng hệ thống dựa trên thực tế công việc và rủi ro, v.v.)
• Cải cách ý thức của Cơ quan Bảo hiểm Nhật Bản

đã được đưa ra.

Hơn nữa, chỉ có thỏa thuận chung về bảo vệ an ninh thông tin giữa các bên giao việc, và không có thỏa thuận rõ ràng về cách xử lý cụ thể khi xảy ra sự cố, do đó, việc xử lý đã bị chậm trễ và thiệt hại đã tăng lên. (Nguồn: Bộ Lao động, Y tế và Phúc lợi Nhật Bản “Báo cáo Kiểm tra ngày 21 tháng 8 năm 27 của thời kỳ Heisei[ja]“)

Để ngăn chặn tình hình như vậy, các biện pháp như:

• Ký kết Thỏa thuận Mức độ Dịch vụ (Service Level Agreement, SLA) với nội dung cụ thể
• Đồng ý rõ ràng về việc bên giao việc sẽ xử lý trong trường hợp khẩn cấp

có thể cần thiết.

Thỏa thuận Mức độ Dịch vụ (Service Level Agreement, SLA) là một hợp đồng mà các bên cung cấp dịch vụ và các bên nhận dịch vụ đồng ý về chất lượng dịch vụ, phạm vi áp dụng, phương thức nhận, trách nhiệm và chi phí, v.v. Ngoài ra, việc đồng ý trước về cách xử lý khi xảy ra sự cố sẽ cho phép xử lý nhanh chóng và phù hợp.

Vụ rò rỉ thông tin cá nhân tại Tập đoàn Benesse

Vào năm 2014 (năm 26 của thời kỳ Heisei), đã xảy ra vụ rò rỉ thông tin cá nhân tại Tập đoàn Benesse. Đây là vụ việc mà nhân viên của bên giao việc đã sao chép dữ liệu khách hàng và bán cho nhà cung cấp danh sách, làm cho thông tin khách hàng khoảng 29,89 triệu mục bị rò rỉ.

Nguyên nhân của vụ việc này là việc không có hệ thống giám sát đầy đủ để ngăn chặn việc rò rỉ thông tin, mặc dù đã cấp quyền truy cập vào dữ liệu cho bên giao việc và bên giao việc tiếp theo.

Các biện pháp có thể được xem xét như:

• Định rõ phạm vi công việc và phạm vi truy cập vào thông tin của bên giao việc trong hợp đồng
• Thực hiện kiểm toán định kỳ đối với bên giao việc
• Đặt nghĩa vụ báo cáo về hệ thống giám sát cho bên giao việc
• Chọn người xử lý thông tin quan trọng tại bên giao việc và tiến hành kiểm tra

có thể được xem xét.

Sau đó, một trong những khách hàng đã khởi kiện Tập đoàn Benesse, nguồn cung cấp dịch vụ, yêu cầu bồi thường thiệt hại 100.000 yên vì việc rò rỉ thông tin cá nhân của mình và con mình trong vụ việc này.

Ở cấp sơ thẩm và phúc thẩm, khách hàng đã thua kiện, nhưng theo phán quyết của Tòa án Tối cao ngày 23 tháng 10 năm 2017 (năm 29 của thời kỳ Heisei),

“Việc từ chối yêu cầu của nguyên đơn chỉ vì không có lập luận hay chứng minh về việc xảy ra thiệt hại vượt quá sự khó chịu do vi phạm quyền riêng tư, mà không xem xét kỹ lưỡng về việc có thiệt hại tinh thần do vi phạm quyền riêng tư của nguyên đơn hay không và mức độ của nó, là không thích hợp”

Phán quyết ngày 23 tháng 10 năm 29 của thời kỳ Heisei, Số 1892 (nhận) Yêu cầu bồi thường thiệt hại, Phán quyết của Tòa án Tối cao ngày 23 tháng 10 năm 29[ja]

đã hủy bỏ phán quyết phúc thẩm và trả lại việc xem xét cho Tòa án Dân sự Osaka.

Ngày 20 tháng 11 năm 2019, Tòa án Dân sự Osaka đã công nhận vi phạm quyền riêng tư và ra lệnh cho Tập đoàn Benesse thanh toán 1.000 yên.

Ở cấp sơ thẩm và phúc thẩm, không chỉ việc vi phạm quyền riêng tư mà còn việc có thiệt hại thực sự đã xảy ra hay không cũng được coi là quan trọng, nhưng ở Tòa án Tối cao, việc xem xét việc vi phạm quyền riêng tư đã xảy ra, bất kể có thiệt hại hay không, đã được coi là quan trọng. Trong các vụ việc rò rỉ thông tin khác, có nhiều trường hợp công nhận yêu cầu bồi thường thiệt hại dựa trên việc rò rỉ thông tin, và phán quyết của Tòa án Tối cao này được cho là phù hợp với xu hướng đó.

Tóm tắt: Hãy thảo luận với luật sư về hệ thống kiểm soát nội bộ

Để duy trì sự quản lý lành mạnh của công ty hoặc tổ chức, bạn cần xây dựng và vận hành hệ thống kiểm soát nội bộ một cách phù hợp. Ngay cả khi bên được ủy thác gây ra sự cố bảo mật như rò rỉ thông tin, bên ủy thác cũng có thể bị đặt ra trách nhiệm, và không thể tránh khỏi việc hình ảnh doanh nghiệp giảm sút. Để tránh tình trạng như vậy, bạn phải xây dựng trước một hệ thống để hệ thống kiểm soát nội bộ hoạt động đầy đủ ngay cả ở bên được ủy thác.

Vui lòng thảo luận với luật sư về việc xây dựng và vận hành hệ thống kiểm soát nội bộ, bao gồm việc thiết lập hệ thống bảo mật thông tin.

Giới thiệu về các biện pháp của văn phòng luật sư của chúng tôi

Văn phòng luật sư Monolith là một văn phòng luật sư chuyên về IT, đặc biệt là Internet và luật, có chuyên môn cao. Nhu cầu kiểm tra pháp lý liên quan đến xây dựng và vận hành hệ thống kiểm soát nội bộ ngày càng tăng. Chi tiết được mô tả trong bài viết dưới đây.

Lĩnh vực hoạt động của Văn phòng luật sư Monolith: Pháp lý doanh nghiệp IT & Venture[ja]