MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Explicación de las medidas para prevenir la fuga de información: ¿Qué debería incluir el reglamento interno de la empresa?

General Corporate

Explicación de las medidas para prevenir la fuga de información: ¿Qué debería incluir el reglamento interno de la empresa?

Las filtraciones de información pueden causar daños potencialmente devastadores en las actividades Negocios. Por lo tanto, es crucial establecer medidas preventivas internas.

En concreto, se podría considerar la implementación de reglamentos internos y su correspondiente operación. Pero, ¿qué tipo de reglamentos internos deberíamos establecer específicamente? En este artículo, dirigido a los responsables legales de las empresas, explicaremos cómo desarrollar reglamentos internos para reducir el riesgo de filtraciones de información.

¿Qué es el reglamento interno sobre la filtración de información?

La filtración de información puede ocurrir en cualquier momento y bajo cualquier circunstancia. Por lo tanto, es importante prepararse para ello creando un sólido reglamento interno de antemano.

Además, en el caso improbable de que ocurra una filtración de información, se puede minimizar el daño causado por la filtración al responder adecuadamente de acuerdo con el reglamento interno previamente establecido.

Establecimiento de la Política Básica

Reglamento interno sobre fugas de información: Establecimiento de la Política Básica

En primer lugar, como empresa, se puede considerar establecer una Política Básica sobre fugas de información para aclarar cómo se manejarán estas situaciones.

La Política Básica puede incluir, por ejemplo, los siguientes contenidos:

  • Contenido relacionado con la responsabilidad de la empresa y los gerentes
  • Contenido relacionado con el cumplimiento de leyes y regulaciones
  • Contenido relacionado con la construcción de sistemas internos
  • Contenido relacionado con la gestión de la información
  • Contenido relacionado con las iniciativas hacia los empleados
  • Contenido relacionado con la respuesta en caso de una fuga de información
  • Contenido relacionado con la revisión periódica de la Política Básica

En cuanto a la Política Básica, además de ser parte del reglamento interno, también se puede considerar su implementación en una forma que revele la política básica al exterior, como una Política de Privacidad. Al revelar la política básica al exterior, se puede demostrar la alta conciencia de la empresa sobre las fugas de información, lo que también puede contribuir a mejorar la confianza social.

Sin embargo, por supuesto, no tiene sentido simplemente establecer una Política Básica. Es necesario establecer una Política Básica que se ajuste a la realidad de la empresa, y también es importante operar de acuerdo con la Política Básica establecida.

Artículo relacionado: ¿Cuáles son los puntos a tener en cuenta al crear una Política de Privacidad teniendo en cuenta la Ley Japonesa de Protección de Información Personal?[ja]

Reglamento sobre la protección de la información

Como parte del contenido de las normas internas, se puede considerar establecer disposiciones sobre la protección de la información.

En cuanto a la protección de la información, por ejemplo, se puede considerar establecer los siguientes contenidos:

Análisis de riesgo de fuga de información

Si no se realiza un análisis de riesgo adecuado sobre la fuga de información, no se puede responder adecuadamente al riesgo. Por lo tanto, es importante establecer en las normas internas el contenido relacionado con el análisis de riesgo de fuga de información como parte de la protección de la información.

Comprensión y base de datos de la información poseída por la empresa

Como empresa, si no se comprende bien la información que posee, es difícil gestionarla adecuadamente. Además, al convertir la información que posee la empresa en una base de datos, es posible gestionar la información de manera adecuada.

Definición del manejador de la información

Al definir en las normas internas quién manejará la información que posee la empresa, se puede limitar el alcance de uso de la información al mínimo y reducir el riesgo de fuga de información.

Establecimiento de procedimientos para la divulgación y provisión de información

Al establecer claramente en las normas internas el contenido de los procedimientos para la divulgación y provisión de la información que posee la empresa, se garantiza que se seguirán los procedimientos. Por lo tanto, se puede evitar que los empleados utilicen la información de la empresa basándose únicamente en su propio juicio, lo que puede resultar en la prevención de fugas de información.

Restricción de la extracción de información al exterior

Al establecer en las normas internas el contenido relacionado con la extracción de la información que posee la empresa al exterior, se puede prevenir la situación de que la información sea llevada innecesariamente al exterior, lo que puede tener un cierto efecto en la prevención de fugas de información.

Establecimiento de auditorías del sistema de protección de la información

Incluso si la empresa ha establecido un sistema de protección de la información, no tiene sentido si no se opera de acuerdo con ese sistema de protección de la información.

Por lo tanto, en las normas internas, se puede considerar establecer que una entidad independiente del objeto de la auditoría llevará a cabo una auditoría del sistema de protección de la información.

Reglamento sobre la gestión de personal

Reglamento interno sobre la filtración de información: Reglamento sobre la gestión de personal

En cuanto a la filtración de información, existen casos en los que ocurre debido a errores humanos de las personas que manejan la información. Por lo tanto, es posible considerar la inclusión de disposiciones sobre las personas que manejan la información en el reglamento interno.

Además, se puede considerar la inclusión de estas disposiciones sobre la gestión de personal en las normas de trabajo y en el reglamento de gestión de información confidencial.

Por ejemplo, se puede considerar la inclusión de las siguientes disposiciones:

Obligación de confidencialidad de la información

En el reglamento interno, se puede considerar la inclusión de disposiciones sobre la obligación de confidencialidad de la información dirigidas a los empleados. Al establecer la obligación de confidencialidad de la información, es posible imponer esta obligación a los empleados como una obligación contractual.

Además, se puede esperar que se realice una concienciación sobre la obligación de confidencialidad de la información a los empleados.

Prohibición del uso de la información para fines no previstos

La obligación de confidencialidad de la información implica, en primer lugar, no filtrar la información. Sin embargo, además de esto, se puede decir que es efectivo establecer una disposición que prohíba el uso de la información para fines no previstos para prevenir la filtración de información.

Declaración de confidencialidad al ingresar a la empresa

Se puede establecer un método que requiera a los empleados presentar una declaración de confidencialidad que incluya la obligación de confidencialidad y la prohibición del uso de la información para fines no previstos al ingresar a la empresa.

La declaración al ingresar a la empresa tiene el significado de imponer una responsabilidad contractual y al mismo tiempo concienciar a los empleados sobre la prevención de la filtración de información.

Declaración de confidencialidad al retirarse de la empresa

En cuanto a los empleados, es necesario no solo evitar que filtren información mientras están en la empresa, sino también después de retirarse.

Por lo tanto, se puede considerar solicitar la presentación de una declaración al retirarse de la empresa que incluya el compromiso de no filtrar la información que se conoció mientras se estaba en la empresa. Esto se debe a que el reglamento interno solo tiene efecto sobre los empleados y no tiene efecto después de que se retiran.

Educación de los empleados sobre la filtración de información

Al obtener una declaración de los empleados, se puede realizar una cierta concienciación sobre la filtración de información, pero solo con la declaración, no necesariamente es suficiente para hacer que los empleados reconozcan la gravedad de causar una filtración de información.

Por lo tanto, es útil incluir en el reglamento interno la realización de capacitaciones internas periódicas y la educación de los empleados para prevenir la filtración de información.

Reglamento sobre la gestión física

Reglamento interno sobre fugas de información: Reglamento sobre la gestión física

Para prevenir las fugas de información, es necesario construir un entorno en el que la información sea difícil de filtrar físicamente.

Por ejemplo, en el reglamento interno, se puede considerar establecer contenidos como los siguientes en relación con la gestión de la información:

Control de acceso a la sala de almacenamiento de información

Es posible reducir el acceso físico a la información al definir claramente las zonas de seguridad según la información que se maneja en la empresa, y al gestionar el acceso y el cierre de estas zonas.

Al reducir el acceso físico a la información, se puede esperar disminuir el riesgo de fugas de información.

Acceso al servidor

Si la información se almacena en un servidor, se puede considerar limitar el derecho de acceso al servidor en el reglamento interno.

Si cualquier empleado puede acceder fácilmente a la información, el riesgo de fuga de información aumenta en consecuencia. Por lo tanto, limitar el acceso al servidor donde se almacena la información puede ser efectivo para prevenir las fugas de información.

Manejo de documentos y otros medios

En el reglamento interno, también es importante establecer concretamente el contenido relacionado con el manejo y almacenamiento de la información cuando se maneja realmente.

Por ejemplo, si la información está en papel, se puede considerar almacenarla en un armario con cerradura y establecer una sala para ver la información, donde no se pueda sacar a otras salas.

Reglamento sobre el uso de equipos de TI

Recientemente, debido al desarrollo de Internet y al aumento de la implementación del trabajo remoto, las oportunidades para intercambiar información utilizando equipos de TI están aumentando.

Por lo tanto, en las regulaciones internas, se puede considerar establecer contenido como el siguiente con respecto al uso de equipos de TI.

Procedimiento para recibir equipos de TI prestados de la empresa

En primer lugar, cuando se recibe un préstamo de equipos de TI como computadoras de la empresa, es importante administrar quién y cuándo recibió el préstamo.

Además, es importante comprender la situación de uso a intervalos regulares para verificar si la persona que ha recibido el préstamo de equipos de TI de la empresa no está utilizando los equipos de TI en un entorno donde es fácil que se produzcan fugas de información.

Procedimiento para el uso de dispositivos personales (BYOD)

Con el aumento del trabajo desde casa, también hay más casos en los que se utilizan dispositivos de TI personales de los empleados para el trabajo. En el caso de que las computadoras y las memorias USB sean propiedad personal de los empleados, es posible que no se hayan tomado suficientes medidas de seguridad.

Además, dado que es el dispositivo de TI que se usa regularmente, como empleado, la sensación de crisis de que se está manejando información relacionada con el trabajo puede desvanecerse, y la administración puede ser insuficiente.

Por lo tanto, en las regulaciones internas, cuando la empresa permite a los empleados usar dispositivos personales (BYOD), se puede considerar establecer procedimientos y prohibiciones para el uso de dispositivos personales (BYOD).

Reglamentos sobre otras fugas de información

Además, en los reglamentos internos sobre fugas de información, se puede considerar establecer lo siguiente:

Reglamentos sobre el uso personal de las redes sociales

Existen redes sociales que se utilizan con nombres reales y otras de forma anónima. En el caso de las anónimas, existe la posibilidad de que se publique con facilidad debido al anonimato. Además, hay casos en los que se publica con la ligera sensación de que no será visto por muchas personas, y si se incendia, puede terminar siendo visto por muchas personas.

Las redes sociales tienen un gran poder de difusión, por lo que si se produce una fuga de información, existe el riesgo de que se difunda en un instante.

Por lo tanto, en los reglamentos internos, también se puede considerar regular el uso de las redes sociales por parte de los empleados.

Por ejemplo, se puede dividir el propósito del uso de las redes sociales en “propósito comercial” y “fuera del propósito comercial (privado)”, y en el caso del propósito comercial, se puede requerir la solicitud y aprobación, así como la notificación en caso de incendio. Incluso si el propósito es fuera del trabajo, se puede prohibir escribir información confidencial de la empresa o algo que viole la ley, y se puede requerir la notificación en caso de una posible fuga de información o si se incendia.

Las medidas contra las fugas de información se llevan a cabo en todas las empresas del grupo

En el caso de las empresas de gran tamaño, puede haber varias empresas del grupo. Existe la posibilidad de que se intercambie información confidencial entre las empresas del grupo, pero no necesariamente todo el grupo tiene el mismo nivel de seguridad.

Por lo tanto, por ejemplo, hay quienes intentan acceder ilegalmente y obtener información de una subsidiaria con una seguridad más débil que la empresa matriz.

Para hacer frente a esta situación, es importante que las empresas del grupo no tomen medidas contra las fugas de información de forma individual, sino que trabajen juntas para tomar medidas contra las fugas de información.

Resumen: Consulta a un abogado sobre las normas internas relacionadas con la filtración de información

Hemos explicado cómo establecer normas internas para reducir el riesgo de filtración de información, dirigido a los responsables legales de las empresas. Para prevenir la filtración de información, es importante implementar medidas desde varios ángulos.

Es necesario considerar cuidadosamente las normas internas relacionadas con estas medidas, incorporando una perspectiva especializada. Recomendamos consultar a un abogado con conocimientos especializados al establecer las normas internas.

Artículo relacionado: El riesgo de la filtración de información personal en las empresas y la compensación por daños[ja]

Presentación de las medidas propuestas por nuestro despacho

El despacho de abogados Monolis es una firma legal con alta especialización en IT, especialmente en aspectos de Internet y derecho. El conocimiento especializado es esencial para la formulación de regulaciones internas. En nuestro despacho, revisamos una variedad de casos, desde empresas cotizadas en la Bolsa de Tokio hasta startups. Si tiene problemas con las regulaciones internas, consulte el siguiente artículo.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Volver arriba