如何防止委託方的安全事故?解釋訂購方內部控制系統的建立與運營

根據「日本公司法」和「日本金融商品交易法」，企業有義務建立「內部控制系統」。雖然「內部控制系統」這個詞可能讓人感到困難，但簡單來說，它是一種為了適當運營公司業務並防止風險的體制。

那麼，內部控制系統在與外部交易對象的關係中如何發揮作用呢？尤其是，由於企業經常將物流、維護等各種業務外包給外部，這成為了一個問題。

本文將解釋如何在委託方實施內部控制系統，以及防止安全事故的措施。

何謂內部控制系統

內部控制系統是指企業或組織為了進行適當的經營所需要的組織性手段和方法，這在日本公司法和金融商品交易法中都有定義。

根據日本公司法，以下的公司必須建立內部控制系統：

• 大型公司
• 設有提名委員會等的公司
• 設有審計等委員會的公司

此外，根據金融商品交易法，上市公司有義務建立內部控制系統，並且必須每個業務年度提交內部控制報告書。這份內部控制報告書需要接受公認會計師或審計法人的審計證明。

如果由於內部控制系統的不備而導致信息洩露等問題，並因此產生損害，公司或董事可能需要承擔損害賠償責任。關於信息保護的內部控制系統，本所在以下的文章中有詳細的解釋，請參考。

相關文章：解釋防止信息洩露的措施 應整備的公司規定內容[ja]

業務委託時可能產生的內部控制系統風險

即使本所自身制定了與資訊安全相關的規定，如果委託方沒有制定這樣的規定，或者其內容不足，則可能會在委託方發生安全事件。

如果發生安全事件，即使是在委託方發生的事故，也存在管理責任所在的委託源公司形象下降的風險。

因此，在業務委託時，建立一種體制以防止在委託方發生安全事件等情況是非常重要的。

需要包含委託方管理的內部控制系統

從判例等來看，建立信息安全系統是構建內部控制系統的重要元素之一。

如果由於信息安全系統的缺陷導致公司或組織對第三方造成損害，可能會以忽視建立內部控制系統的義務為由，質疑董事的善良管理注意義務。此外，如果委託方的信息安全系統存在缺陷並對第三方造成損害，也可能會質疑委託人公司或董事的責任。

雖然尚未確認到因委託方管理不善導致安全事件發生，並以違反建立內部控制義務為由，基於違反善良管理注意義務提出損害賠償請求等的案例，但本所認為未來可能會提起訴訟。

透過案例學習內部控制系統的重要性

在這裡，本所將根據過去的案例來看看在進行業務委託時應該採取哪些措施。

日本年金機構的資訊洩露事件

2015年（西元2015年），日本年金機構發生了因非法訪問導致的資訊洩露事件，確認了基礎年金號碼、姓名等個人資訊的洩露。

關於此事，日本年金機構設立了非法訪問導致的資訊洩露事件調查委員會（以下簡稱調查委員會），並於2015年8月21日製作了調查報告書。根據該報告書，日本年金機構的LAN系統遭到攻擊，共享文件夾內的大量個人資訊被洩露。

在建立系統時，原本規定在LAN系統上不處理個人資訊，但在某些條件下，LAN系統上的共享文件夾卻能存入個人資訊。此外，日本年金機構的LAN系統並未適應針對性攻擊，因此即使發現攻擊，也需要花費時間來掌握情況。

調查委員會提出了以下的再發防止措施：

• 人力組織的整備（設立安全措施本部等）
• 厚生勞動省的監督體制的整備（厚生勞動省的資訊安全體制的整備等）
• 技術的整備（根據業務實際情況和風險進行系統整備等）
• 日本年金機構的意識改革

此外，由於只與委託方達成了一般的資訊安全保護協議，並未對實際發生事件時的具體應對達成明確的協議，因此對事件的應對遲緩，導致損害擴大。（來源：厚生勞動省「平成27年8月21日付検証報告書[ja]」）

為了防止這種情況，需要：

• 以具體內容簽訂服務等級協議
• 明確同意委託方在緊急情況下的應對

服務等級協議（Service Level Agreement, SLA）是指服務提供方與服務接收方之間就服務品質、適用範圍、接收方式、責任和費用等達成的協議。此外，事先就事件發生時的應對達成協議，可以迅速並適當地應對。

日本Benesse公司的個人資訊洩露事件

2014年（西元2014年），日本Benesse公司發生了個人資訊洩露事件。這是由於委託方的員工複製了客戶數據並將其出售給名冊業者，導致約2989萬筆客戶資訊洩露。

該事件的原因是，儘管將數據訪問權限授予了再委託方和再再委託方，但並未建立足夠的監控體制以防止資訊洩露。

作為對策，可以考慮：

• 在合約上明確定義委託方的業務範圍和對資訊的訪問範圍
• 實施對委託方的定期審計
• 對委託方施加監控體制的報告義務
• 確定在委託方處理重要資訊的人員，並進行審查

另外，事件發生後，其中一位客戶對Benesse公司提起了要求支付10萬日元賠償金的訴訟，因為在此事件中，他自己和孩子的個人資訊被洩露。

在一審和二審中，客戶方敗訴，但在平成29年10月23日（西元2017年）的最高法院判決中，

未對上訴人因侵犯隱私權所造成的精神損害的存在及其程度等進行充分審理，僅因未主張或證明超出不快感等的損害的發生，就直接駁回上訴人的請求，這是不應該的。

平成28年(受)第1892號 損害賠償請求事件 平成29年10月23日 第二小法廷判決[ja]

因此，最高法院撤銷了二審判決，並將審理交還給大阪高等法院。

2019年11月20日（西元2019年），大阪高等法院認定了侵犯隱私權，命令Benesse公司支付1,000日元。

在一審和二審中，不僅重視是否侵犯了隱私權，還重視是否實際造成了損害。但在最高法院中，無論是否造成損害，都應審理是否存在侵犯隱私權的問題。在其他資訊洩露事件中，也有許多案例認定了基於資訊洩露的損害賠償請求，因此，這一最高法院的判決可以認為是符合這一趨勢的。

總結：關於內部控制系統，請向律師諮詢

為了公司或組織的健全經營，必須適當地建立和運用內部控制系統。即使是委託方引起的資訊洩露等安全事故，委託人也可能被追究責任，且無法避免企業形象的下降。為了避免這種情況，必須事先建立一個機制，使委託方的內部控制系統也能充分發揮作用。

關於包括資訊安全系統在內的內部控制系統的建立和運用，請向律師諮詢。

本所事務所的對策介紹

Monolith法律事務所是一家在IT，特別是互聯網和法律兩方面都具有高度專業性的法律事務所。內部控制系統的建立和運營相關的法律審查的需求正在日益增加。詳細內容已在下文中說明。

Monolith法律事務所的業務範疇：IT與創業公司的企業法務[ja]