如何防止委托方的安全事件?解释构建和运行订购方的内部控制系统
根据《日本公司法》和《日本金融商品交易法》,企业必须建立内部控制系统。”内部控制系统”可能听起来很复杂,但简单来说,它是一个用于适当管理公司业务并防止风险的体系。
那么,内部控制系统在与外部交易伙伴的关系中如何发挥作用呢?尤其是,企业经常将物流、维护等各种业务委托给外部,这就成了一个问题。
本文将解释如何在委托方运行内部控制系统,以及防止安全事件的措施。
什么是内部控制系统
内部控制系统是指企业或组织为了进行适当的经营所需要的组织性手段和方法,这在日本公司法(Japanese Company Law)和金融商品交易法(Japanese Financial Instruments and Exchange Act)中都有定义。
根据日本公司法,以下公司必须建立内部控制系统:
- 大型公司
- 设有提名委员会等的公司
- 设有审计等委员会的公司
另外,根据金融商品交易法,上市公司有义务建立内部控制系统,并且每个财务年度都必须提交内部控制报告书。这份内部控制报告书需要接受注册会计师或审计法人的审计证明。
如果由于内部控制系统的不足导致信息泄露等损害,公司或董事可能需要承担赔偿责任。关于信息保护的内部控制系统,我们在以下的文章中进行了详细的解释,请参考。
相关文章:解释防止信息泄露的措施 应制定的公司规定的内容是什么[ja]
业务委托时可能产生的内部控制系统风险
即使自家公司制定了信息安全相关的规定,但如果委托方没有制定这样的规定,或者内容不充分,那么在委托方可能会发生安全事件。
如果发生了安全事件,即使是在委托方发生的事故,也存在管理责任在委托方的企业形象降低的风险。
因此,在业务委托时,建立在委托方也不会发生安全事件等的体制是非常重要的。
需要包含委托方管理的内部控制系统
从判例等方面考虑,信息安全系统的建设是构建内部控制系统的重要元素之一。
如果由于信息安全系统的缺陷,公司或组织对第三方造成了损害,可能会因为忽视构建内部控制系统的义务,而质疑董事的善良管理注意义务。此外,如果委托方的信息安全系统存在缺陷,导致对第三方造成损害,也可能会质疑委托方公司或董事的责任。
虽然目前还没有确认到因委托方管理不善导致安全事件,从而以内部控制构建义务违反为理由,基于善良管理注意义务违反提出的损害赔偿请求等被接受的案例,但我们认为今后可能会提起诉讼。
通过案例学习内部控制系统的重要性
在这里,我们将根据过去的案例,探讨在进行业务外包时应采取哪些措施。
日本养老金机构的信息泄露事件
2015年(平成27年),在日本养老金机构发生了非法访问导致的信息泄露事件,基础养老金号码、姓名等个人信息的泄露得到了确认。
关于此事,设立了日本养老金机构非法访问导致的信息泄露事件调查委员会(以下简称调查委员会),并于2015年8月21日编制了调查报告书。根据这份报告,日本养老金机构的局域网(LAN)系统遭到攻击,共享文件夹内的大量个人信息被泄露。
在构建系统时,原本局域网(LAN)系统上不应处理个人信息,但在某些条件下,局域网(LAN)系统上的共享文件夹却能存放个人信息。此外,日本养老金机构的局域网(LAN)系统并未设定为能应对定向攻击,因此在发现攻击后,掌握情况花费了很长时间。
调查委员会提出了以下防止再次发生的措施:
- 人力体制的整备(设立安全措施总部等)
- 厚生劳动省监督体制的整备(厚生劳动省信息安全体制的整备等)
- 技术的整备(根据业务实际情况和风险进行系统整备等)
- 日本养老金机构的意识改革
此外,由于只与委托方达成了关于信息安全保护的一般性协议,而没有明确的协议规定实际发生事件时的具体应对措施,因此应对延迟,损失加大。(来源:厚生劳动省「平成27年8月21日调查报告书[ja]」)
为了防止这样的情况,
- 需要具体内容的服务级别协议
- 需要明确委托方在紧急情况下的应对措施
服务级别协议(Service Level Agreement,SLA)是指服务提供方和服务接收方之间就服务质量、适用范围、接收方式、责任和费用等达成的协议。此外,事先就事件发生时的应对措施达成协议,可以使得能够迅速并适当地应对。
关于Benesse公司的个人信息泄露事件
2014年,Benesse公司发生了个人信息泄露事件。这是由于委托方的员工复制了客户数据并将其出售给名册业者,导致约2989万条客户信息泄露。
此事件的原因在于,尽管给予了再委托方和再再委托方数据访问权限,但没有足够的监控体系来防止信息泄露。
对策包括:
- 在合同中明确定义委托方的业务范围和信息访问范围
- 对委托方进行定期审计
- 对委托方施加监控体系的报告义务
- 确定在委托方处理重要信息的人,并进行审查
等等。
此外,后来一位客户因此事件中自己和孩子的个人信息泄露,向服务提供者Benesse公司提起了要求赔偿10万日元的诉讼。
在一审和二审中,客户方败诉,但根据平成29年(2017年)10月23日的最高法院判决,
没有充分审理上诉人因侵犯隐私权而产生的精神损害的存在及其程度等问题,仅仅因为没有主张和证明超过不快感等损害的发生,就直接驳回上诉人的请求,这是不应该的。
平成28年(2016年)(受)第1892号 损害赔偿请求事件 平成29年(2017年)10月23日 第二小法庭判决[ja]
因此,最高法院撤销了二审判决,并将审理交回给大阪高等法院。
2019年11月20日,大阪高等法院承认了侵犯隐私权的行为,并命令Benesse公司支付1,000日元。
在一审和二审中,不仅重视了侵犯隐私权的行为,还重视了是否真正发生了损害。然而,在最高法院的判断中,无论是否存在损害,都应审理侵犯隐私权的行为。在其他信息泄露事件中,也有许多案例承认了基于信息泄露的损害赔偿请求,因此,这一最高法院的判决可以被认为是符合这一趋势的。
总结:请向律师咨询内部控制系统的问题
为了公司或组织的健康经营,必须适当地构建和运行内部控制系统。即使是委托方引发的信息泄露等安全事件,委托人也可能被追究责任,也无法避免企业形象的下降。为了避免这种情况,必须预先构建一个机制,使委托方的内部控制系统也能充分发挥作用。
关于包括信息安全系统在内的内部控制系统的构建和运行,请咨询律师。
我們事務所的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的法律事務所。內部控制系統的建設和運營相關的法律檢查的需求正在不斷增加。詳細內容已在下文中說明。
Monolith法律事務所的業務範疇:IT和創業公司的企業法務[ja]
