MONOLITH LAW OFFICE+81-3-6262-3248Všední dny 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Vysvětlení opatření proti úniku informací: Jaký obsah by měl mít interní řád, který je třeba vypracovat

General Corporate

Vysvětlení opatření proti úniku informací: Jaký obsah by měl mít interní řád, který je třeba vypracovat

Únik informací může způsobit fatální škody na podnikatelské činnosti. Je proto důležité vytvořit preventivní opatření interně.

Konkrétně můžeme uvažovat o vytvoření interních předpisů a jejich dodržování. Jaké konkrétní interní předpisy bychom tedy měli stanovit? V tomto článku vysvětlíme, jak připravit interní předpisy pro snížení rizika úniku informací, zaměřené na právní zástupce společností.

Co jsou interní předpisy týkající se úniku informací

Únik informací může nastat kdykoli a v jakémkoli okamžiku, aniž bychom to předvídali. Proto je důležité vytvořit pevné interní předpisy předem a být připraveni na únik informací.

Dále, pokud by se náhodou stala situace úniku informací, můžete minimalizovat škody způsobené únikem informací tím, že budete řádně jednat v souladu s předem stanovenými interními předpisy.

Vytvoření základní politiky

Vnitřní předpisy týkající se úniku informací: Vytvoření základní politiky

Nejprve byste měli zvážit vytvoření základní politiky týkající se úniku informací, aby bylo jasné, jakým způsobem bude vaše společnost reagovat na takové situace.

Základní politika by mohla například obsahovat následující body:

  • Obsah týkající se odpovědnosti společnosti a jejího vedení
  • Obsah týkající se dodržování zákonů a dalších předpisů
  • Obsah týkající se vytváření interních mechanismů
  • Obsah týkající se správy informací
  • Obsah týkající se opatření vůči zaměstnancům
  • Obsah týkající se reakce v případě úniku informací
  • Obsah týkající se pravidelného přezkumu základní politiky

Základní politika může být provozována nejen jako interní předpis, ale také ve formě, která je podobná politice ochrany soukromí, tedy tak, že základní principy jsou zveřejněny. Tímto způsobem můžete ukázat, jak vážně berete otázku úniku informací, což může vést ke zvýšení vaší společenské důvěryhodnosti.

Je samozřejmě důležité nejen stanovit základní politiku, ale také ji provozovat v souladu s realitou vaší společnosti. Je důležité nastavit základní politiku tak, aby odpovídala skutečné situaci ve vaší společnosti, a také ji provozovat v souladu s tím, co je v ní stanoveno.

Související článek: Jaké jsou klíčové body při vytváření politiky ochrany osobních údajů s ohledem na japonský zákon o ochraně osobních údajů?[ja]

Ustanovení o ochraně informací

Jako součást interních předpisů můžeme zvážit stanovení ustanovení týkajících se ochrany informací.

Co se týče obsahu týkajícího se ochrany informací, můžeme například zvážit nastavení následujících položek.

Analyzování rizik úniku informací

Pokud není provedena dostatečná analýza rizik spojených s únikem informací, nelze provést adekvátní opatření v souladu s rizikem. Proto je důležité stanovit v interních předpisech ustanovení týkající se analýzy rizik úniku informací.

Pochopení a databázování informací, které společnost vlastní

Jako společnost, pokud nerozumíme informacím, které vlastníme, je těžké je řádně spravovat. Navíc, databázování informací, které společnost vlastní, umožňuje správnou správu informací.

Určení osoby zodpovědné za manipulaci s informacemi

Pokud v interních předpisech určíme osobu zodpovědnou za manipulaci s informacemi, které společnost vlastní, můžeme omezit rozsah využití informací na minimum a snížit riziko úniku informací.

Stanovení postupů pro zveřejnění a poskytování informací

Pokud v interních předpisech pečlivě stanovíme postupy a podobné obsahy týkající se zveřejnění a poskytování informací, které společnost vlastní, budou prováděny operace v souladu s těmito postupy. To umožňuje zabránit situacím, kdy zaměstnanci využívají informace společnosti pouze na základě svého rozhodnutí, což může vést k prevenci úniku informací.

Omezení přenášení informací mimo společnost

Pokud v interních předpisech stanovíme ustanovení týkající se přenášení informací mimo společnost, můžeme zabránit situacím, kdy jsou informace zbytečně přenášeny mimo společnost, což může mít určitý efekt na prevenci úniku informací.

Stanovení auditu systému ochrany informací

I když společnost vytvořila systém ochrany informací, pokud nejsou prováděny operace v souladu s tímto systémem, nemá to smysl.

Proto můžeme v interních předpisech také zvážit stanovení, že subjekt nezávislý na auditovaném subjektu provede audit systému ochrany informací.

Předpisy týkající se řízení lidí

Interní předpisy týkající se úniku informací: Předpisy týkající se řízení lidí

Úniky informací mohou být způsobeny chybami lidí, kteří s informacemi zacházejí (lidské chyby). Proto je možné zvážit stanovení pravidel týkajících se lidí, kteří s informacemi zacházejí, v interních předpisech.

Je také možné zvážit stanovení těchto pravidel týkajících se řízení lidí v pracovních řádech nebo v předpisech pro správu důvěrných informací.

Například lze zvážit stanovení následujících pravidel:

Povinnost zachovávat důvěrnost informací

V interních předpisech je možné stanovit pravidla týkající se povinnosti zachovávat důvěrnost informací pro zaměstnance. Stanovením povinnosti zachovávat důvěrnost informací je možné uvalit tuto povinnost na zaměstnance jako smluvní povinnost.

Také lze očekávat, že zaměstnanci budou více vnímat povinnost zachovávat důvěrnost informací.

Zákaz použití informací mimo stanovený účel

Povinnost zachovávat důvěrnost informací primárně znamená, že informace nesmí být uniknuty. Avšak kromě toho je také efektivní stanovit pravidlo zakazující použití informací mimo stanovený účel jako prevenci úniku informací.

Deklarace o zachování tajemství při nástupu do práce

Pro zaměstnance je možné stanovit, že při nástupu do práce musí předložit deklaraci o zachování tajemství, která zahrnuje povinnost zachovávat tajemství a zákaz použití informací mimo stanovený účel.

Deklarace při nástupu do práce má nejen za cíl uvalit smluvní povinnost, ale také zvyšovat povědomí zaměstnanců o prevenci úniku informací.

Deklarace o zachování tajemství při odchodu z práce

Je samozřejmě nutné, aby zaměstnanci během svého zaměstnání neunikli informace, ale je také nutné, aby po odchodu z práce neunikli informace.

Proto je možné zvážit požadavek na předložení deklarace při odchodu z práce, která stanoví, že informace získané během zaměstnání nebudou po odchodu z práce uniknuty. To je proto, že interní předpisy mají v zásadě účinek pouze na zaměstnance a po odchodu z práce již nemají účinek.

Vzdělávání zaměstnanců o úniku informací

Získáním deklarace od zaměstnanců lze do určité míry zvyšovat povědomí o prevenci úniku informací, ale pouze deklarace nemusí být dostatečná k tomu, aby zaměstnanci pochopili vážnost úniku informací.

Proto je také užitečné stanovit v interních předpisech, že se budou pravidelně konat interní školení, aby se zaměstnancům poskytovalo vzdělávání o prevenci úniku informací.

Pravidla pro fyzickou správu

Pravidla pro fyzickou správu v rámci interních předpisů týkajících se úniku informací

Abychom zabránili úniku informací, je třeba vytvořit prostředí, které je fyzicky odolné proti úniku informací.

Například v interních předpisech můžeme stanovit následující pravidla týkající se správy informací:

Správa vstupu a výstupu do místnosti, kde se uchovávají informace

V rámci firmy je důležité jasně definovat bezpečnostní zóny podle typu informací, které se zpracovávají, a provádět správu vstupu a výstupu do těchto zón, jako je zamykání, aby se snížil fyzický přístup k informacím.

Snížením fyzického přístupu k informacím můžeme očekávat snížení rizika úniku informací.

Přístup k serveru

Pokud ukládáte informace na server, můžete v interních předpisech omezit oprávnění k přístupu k serveru.

Pokud může jakýkoli zaměstnanec snadno přistupovat k informacím, zvyšuje se riziko úniku informací. Omezení přístupu k serveru, na kterém se ukládají informace, je tedy účinné pro prevenci úniku informací.

Zacházení s dokumenty a jinými médii

Je důležité v interních předpisech konkrétně stanovit pravidla pro zacházení a uchovávání informací, které se skutečně zpracovávají.

Například pokud jsou informace uloženy na papíře, můžete stanovit, že je třeba je uchovávat v zamykatelné skříni, nebo vytvořit místnost pro prohlížení informací a stanovit, že je nelze odnést do jiné místnosti.

Předpisy týkající se používání IT zařízení

V poslední době se z důvodu rozvoje internetu a nárůstu práce na dálku zvyšuje příležitost pro výměnu informací pomocí IT zařízení.

Proto je možné zvážit stanovení následujících pravidel týkajících se používání IT zařízení v interních předpisech.

Postup při půjčování IT zařízení od společnosti

Nejprve je důležité spravovat, kdo a kdy si půjčil IT zařízení, jako jsou počítače, od společnosti.

Dále je důležité pravidelně sledovat, zda osoba, která si půjčila IT zařízení od společnosti, nepoužívá zařízení v prostředí, kde je snadné dojít k úniku informací.

Postup pro používání osobních zařízení (BYOD)

V důsledku nárůstu práce na dálku se zvyšuje i počet případů, kdy zaměstnanci používají svá osobní IT zařízení pro práci. V případě, že PC nebo USB flash disk jsou osobním majetkem zaměstnance, nemusí být vždy zajištěna dostatečná bezpečnostní opatření.

Navíc, protože se jedná o zařízení, které se běžně používá, může u zaměstnanců dojít k oslabení povědomí o tom, že manipulují s pracovními informacemi, což může vést k nedostatečné správě.

Proto je možné zvážit stanovení postupů a zákazů pro používání osobních zařízení (BYOD) v interních předpisech, pokud společnost dovolí zaměstnancům používat jejich osobní zařízení (BYOD).

Ustanovení týkající se dalších úniků informací

Mimo jiné, v interních předpisech týkajících se úniků informací, můžete zvážit stanovení následujících věcí.

Ustanovení týkající se osobního použití SNS

SNS může být používáno jak pod skutečným jménem, tak anonymně. V případě anonymního použití existuje možnost, že z důvodu anonymity může dojít k lehkovážnému příspěvku na SNS. Také může dojít k situaci, kdy se příspěvek, který byl zveřejněn s lehkým pocitem, že ho neuvidí tolik lidí, “vznítí” a dostane se do očí mnoha lidem.

SNS má silnou schopnost šíření, takže pokud dojde k úniku informací, existuje riziko, že se rychle rozšíří.

Z tohoto důvodu můžete zvážit stanovení pravidel týkajících se použití SNS zaměstnanci v interních předpisech.

Například, můžete rozdělit účel použití SNS na “obchodní účely” a “mimo obchodní účely (soukromé)”, a v případě obchodních účelů můžete stanovit povinnost žádosti o schválení, hlášení v případě “vznícení” atd. I když je účel mimo obchodní, můžete zakázat psaní informací, které jsou tajemstvím společnosti nebo porušují zákony a nařízení, a pokud existuje možnost úniku informací nebo dojde k “vznícení”, můžete stanovit povinnost hlášení.

Opatření proti úniku informací jsou prováděna celou skupinou společností

V případě velkých společností může existovat několik skupinových společností. Mezi skupinovými společnostmi může dojít k výměně důvěrných informací, ale ne vždy je zaručeno, že celá skupina má stejnou úroveň zabezpečení.

Z tohoto důvodu může existovat někdo, kdo se pokusí provést neoprávněný přístup k dceřiné společnosti, která má slabší zabezpečení než mateřská společnost, a neoprávněně získat informace.

Pro řešení takových situací je důležité, aby skupinové společnosti neprováděly opatření proti úniku informací samostatně, ale aby se skupinové společnosti spojily a prováděly opatření proti úniku informací.

Shrnutí: Konzultujte právníka ohledně interních předpisů týkajících se úniku informací

Výše jsme vysvětlili, jak připravit interní předpisy pro snížení rizika úniku informací, zaměřené na právní zástupce společností. Pro prevenci úniku informací je důležité provádět opatření z různých úhlů.

Je nutné pečlivě zvážit interní předpisy týkající se takových opatření z odborného hlediska. Doporučujeme konzultovat právníka s odbornými znalostmi při přípravě interních předpisů.

Související článek: Riziko úniku osobních údajů společnosti a náhrada škody[ja]

Představení opatření naší kanceláře

Právní kancelář Monolis je právní kancelář s vysokou odborností v oblasti IT, zejména internetu a práva. Při vytváření interních předpisů je nezbytná odborná znalost. Naše kancelář provádí recenze různých případů od společností kótovaných na Tokyo Stock Exchange až po startupy. Pokud máte potíže s interními předpisy, prosím, podívejte se na následující článek.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zpět na začátek