Selittää tietovuotojen ehkäisemisen toimenpiteet - Mitä yrityksen sisäisten sääntöjen tulisi sisältää?

Tiedon vuotaminen voi aiheuttaa kohtalokasta vahinkoa yritystoiminnalle. Siksi on tärkeää luoda sisäisiä suojatoimenpiteitä.

Käytännössä tämä voi tarkoittaa esimerkiksi yrityksen sisäisten sääntöjen kehittämistä ja niiden mukaista toimintaa. Mutta millaisia sisäisiä sääntöjä pitäisi laatia? Tässä artikkelissa selitämme yritysten oikeudellisille vastuuhenkilöille, kuinka vähentää tiedon vuotamisen riskiä kehittämällä yrityksen sisäisiä sääntöjä.

Mitä sisäiset säännöt tietovuotojen varalta ovat

Tietovuotoja voi tapahtua milloin tahansa ja missä tahansa tilanteessa. Siksi on tärkeää, että yrityksellä on etukäteen laaditut, kattavat sisäiset säännöt tietovuotojen varalta.

Lisäksi, jos tietovuoto sattuisi tapahtumaan, etukäteen määriteltyjen sisäisten sääntöjen mukainen asianmukainen reagointi voi minimoida tietovuodon aiheuttamat vahingot.

Peruspolitiikan laatiminen

Ensimmäinen askel on laatia peruspolitiikka tietovuotojen käsittelyyn yrityksenä. Tämä auttaa selkeyttämään yrityksen lähestymistapaa tietovuotoihin.

Peruspolitiikassa voidaan esimerkiksi määritellä seuraavat asiat:

• Yrityksen ja johtajien vastuut
• Lakien ja muiden säännösten noudattaminen
• Sisäisten järjestelmien rakentaminen
• Tiedonhallinta
• Toimenpiteet työntekijöitä kohtaan
• Toimintatavat tietovuotojen sattuessa
• Peruspolitiikan säännöllinen tarkistaminen

Peruspolitiikkaa voidaan käyttää paitsi sisäisenä sääntönä, myös julkisena periaatteena, kuten yksityisyydensuojapolitiikka. Tämä voi auttaa osoittamaan yrityksen sitoutumista tietovuotojen estämiseen ja parantamaan sen yhteiskunnallista luottamusta.

On kuitenkin tärkeää huomata, että pelkkä peruspolitiikan laatiminen ei riitä. Sen on oltava yrityksen todellista tilannetta vastaava ja sen mukaista toimintaa on noudatettava.

Liittyvä artikkeli: Mitä ottaa huomioon yksityisyydensuojapolitiikkaa laatiessa henkilötietosuojalain (Japanin henkilötietosuojalaki) mukaisesti?[ja]

Tietosuojaa koskevat määräykset

Yrityksen sisäisten sääntöjen sisältöön voi kuulua tietosuojaa koskevat määräykset.

Tietosuojaa koskevat määräykset voivat esimerkiksi sisältää seuraavia asioita:

Tietovuotojen riskianalyysi

Jos tietovuotojen riskianalyysiä ei ole tehty riittävästi, ei ole mahdollista reagoida asianmukaisesti riskeihin. Siksi on tärkeää, että yrityksen sisäiset säännöt määrittelevät tietovuotojen riskianalyysin.

Yrityksen hallussa olevan tiedon hallinta ja tietokantaistaminen

Yrityksen on tärkeää ymmärtää ja hallita tietoa, jota se hallitsee. Tietojen tietokantaistaminen mahdollistaa tiedon asianmukaisen hallinnan.

Tiedon käsittelijän määrittäminen

Yrityksen sisäisissä säännöissä on hyvä määritellä, kuka käsittelee yrityksen hallussa olevaa tietoa. Tämä rajoittaa tiedon käytön minimiin ja vähentää tietovuotojen riskiä.

Tiedon julkistamista ja luovuttamista koskevien menettelyjen määrittäminen

Yrityksen sisäisissä säännöissä on hyvä määritellä tiedon julkistamista ja luovuttamista koskevat menettelyt. Tämä varmistaa, että menettelyjä noudatetaan, mikä estää työntekijöitä käyttämästä yrityksen tietoa omien päätöstensä perusteella ja vähentää näin tietovuotojen riskiä.

Tiedon viemisen rajoittaminen yrityksen ulkopuolelle

Yrityksen sisäisissä säännöissä on hyvä määritellä, miten yrityksen hallussa olevaa tietoa saa viedä yrityksen ulkopuolelle. Tämä estää tiedon tarpeetonta viemistä yrityksen ulkopuolelle ja vähentää näin tietovuotojen riskiä.

Tietosuojajärjestelmän tarkastusta koskevien määräysten määrittäminen

Vaikka yritys olisi luonut tietosuojajärjestelmän, sillä ei ole merkitystä, jos järjestelmää ei noudateta.

Siksi yrityksen sisäisissä säännöissä on hyvä määritellä, että tarkastuksen kohteena olevasta tahosta riippumaton taho suorittaa tietosuojajärjestelmän tarkastuksen.

Ihmisten hallintaan liittyvät säännöt

Tietovuodot voivat johtua ihmisten virheistä (human error). Siksi yrityksen säännöissä voi olla määritelty sääntöjä, jotka koskevat henkilöitä, jotka käsittelevät tietoa.

Nämä ihmisten hallintaan liittyvät säännöt voidaan määritellä esimerkiksi työehtosopimuksissa tai luottamuksellisen tiedon hallintasäännöissä.

Esimerkiksi seuraavat asiat voidaan määritellä:

Tiedon salassapitovelvollisuus

Yrityksen säännöissä voidaan määritellä työntekijöille tiedon salassapitovelvollisuus. Tämä mahdollistaa sen, että työntekijöille voidaan asettaa sopimusvelvoite pitää tieto salassa.

Lisäksi työntekijöille voidaan tehdä tietoiseksi tiedon salassapitovelvollisuudesta.

Tiedon käytön rajoittaminen vain tiettyihin tarkoituksiin

Tiedon salassapitovelvollisuus tarkoittaa ensisijaisesti sitä, että tietoa ei saa vuotaa. Mutta lisäksi voidaan määritellä sääntö, joka kieltää tiedon käytön muuhun kuin tarkoitettuun käyttöön. Tämä on tehokas tapa estää tietovuotoja.

Salassapitosopimus työsuhteen alkaessa

Työntekijöiltä voidaan vaatia salassapitosopimuksen allekirjoittaminen työsuhteen alkaessa. Sopimus sisältää salassapitovelvollisuuden ja kiellon käyttää tietoa muuhun kuin tarkoitettuun käyttöön.

Työsuhteen alkaessa allekirjoitettava sopimus ei ainoastaan aseta työntekijälle sopimusvelvoitteita, vaan myös tekee työntekijälle tietoiseksi tietovuotojen estämisestä.

Salassapitosopimus työsuhteen päättyessä

Työntekijöiden kohdalla on tärkeää, että he eivät vuoda tietoa työsuhteen aikana, mutta myös sen jälkeen.

Siksi työsuhteen päättyessä voidaan vaatia työntekijää allekirjoittamaan sopimus, joka kieltää työsuhteen aikana saadun tiedon vuotamisen työsuhteen jälkeen. Tämä johtuu siitä, että yrityksen säännöt koskevat pääsääntöisesti vain työntekijöitä, eivätkä ne ole voimassa työsuhteen jälkeen.

Tietovuotoihin liittyvä työntekijöiden koulutus

Työntekijöiltä voidaan saada salassapitosopimus, joka tekee heidät tietoisiksi tietovuotojen estämisestä. Mutta pelkkä sopimus ei välttämättä riitä saamaan työntekijöitä ymmärtämään tietovuotojen vakavuutta.

Siksi yrityksen säännöissä voidaan määritellä, että työntekijöille annetaan säännöllisesti koulutusta tietovuotojen estämiseksi.

Fyysisen hallinnan säännökset

Tietovuotojen estämiseksi on tarpeen luoda fyysisesti turvallinen ympäristö, jossa tietoja ei pääse vuotamaan.

Esimerkiksi yrityksen säännöissä voidaan määritellä seuraavia asioita tietojen hallintaan liittyen:

Tietoja säilyttävän huoneen sisään- ja uloskäynnin hallinta

Yrityksen sisällä käsiteltävien tietojen mukaan voidaan määritellä selkeät turva-alueet ja hallita kunkin alueen sisään- ja uloskäyntiä sekä lukitusta. Tämä vähentää fyysistä pääsyä tietoihin.

Fyysisen pääsyn vähentäminen tietoihin voi alentaa tietovuotojen riskiä.

Pääsy palvelimelle

Jos tietoja säilytetään palvelimella tai vastaavassa, yrityksen säännöissä voidaan rajoittaa pääsyä palvelimelle.

Jos kaikki työntekijät voivat helposti päästä käsiksi tietoihin, tietovuotojen riski kasvaa. Pääsyn rajoittaminen tietoja säilyttävälle palvelimelle on tehokas tapa estää tietovuotoja.

Dokumenttien ja muiden välineiden käsittely

Yrityksen säännöissä on tärkeää määritellä konkreettisesti, miten tietoja käsitellään ja säilytetään käytännössä.

Esimerkiksi, jos tiedot ovat paperimuodossa, voidaan harkita säilyttämistä lukittavassa kaapissa tai määritellä, että tietoja saa lukea vain tietyssä huoneessa eikä niitä saa viedä muihin huoneisiin.

IT-laitteiden käyttöä koskevat säännöt

Viime aikoina, internetin kehityksen ja etätyön lisääntymisen myötä, IT-laitteiden käyttö tiedonvaihdossa on lisääntynyt.

Siksi yrityksen sisäisissä säännöissä voidaan määritellä seuraavat asiat koskien IT-laitteiden käyttöä:

Yrityksen IT-laitteiden lainaamiseen liittyvät menettelyt

Ensinnäkin, kun yritys lainaa tietokoneita tai muita IT-laitteita, on tärkeää hallita kuka ja milloin on lainannut laitteen.

Lisäksi on tärkeää selvittää säännöllisesti, ettei henkilö, joka on lainannut IT-laitteen yritykseltä, käytä laitetta tietovuotojen riskialttiissa ympäristössä.

Omaisuuden käyttö (BYOD) -menettelyt

Etätyön lisääntyessä myös tapaukset, joissa työntekijät käyttävät omia IT-laitteitaan työssä, ovat lisääntyneet. PC:t tai USB-muistitikut voivat olla työntekijöiden omaisuutta, eikä niissä välttämättä ole riittäviä turvatoimia.

Lisäksi, koska ne ovat työntekijöiden normaalisti käyttämiä IT-laitteita, työntekijöiden tietoisuus työhön liittyvien tietojen käsittelystä saattaa heikentyä, mikä voi johtaa puutteelliseen hallintaan.

Siksi yrityksen sisäisissä säännöissä voidaan määritellä, että jos yritys sallii työntekijöiden käyttää omia laitteitaan (BYOD), yrityksen on määriteltävä menettelyt ja kielletyt toimet omien laitteiden (BYOD) käyttöä varten.

Muut määräykset tietovuotoihin liittyen

Myös tietovuotoihin liittyvissä sisäisissä määräyksissä voidaan ottaa huomioon seuraavat seikat.

Sosiaalisen median henkilökohtaisen käytön määräykset

Sosiaalisessa mediassa on sekä todellisilla nimillä että anonyymisti käytettäviä palveluita. Anonyymien palveluiden kohdalla on mahdollista, että käyttäjät saattavat tehdä julkaisuja huolettomasti, koska he ovat anonyymejä. Lisäksi, jos julkaisu tehdään kevytmielisesti ajatellen, ettei se saa paljon huomiota, ja se sitten leviää laajasti, se voi saada paljon huomiota.

Sosiaalisella medialla on suuri leviämisvoima, joten jos tietovuoto tapahtuu, se voi levitä nopeasti.

Siksi sisäisissä määräyksissä voidaan myös määritellä työntekijöiden sosiaalisen median käytön säännöt.

Esimerkiksi, sosiaalisen median käyttötarkoitus voidaan jakaa “liiketoiminnalliseen tarkoitukseen” ja “liiketoiminnan ulkopuoliseen (yksityiseen)” tarkoitukseen, ja liiketoiminnalliseen tarkoitukseen liittyvässä käytössä voidaan vaatia hakemusta ja hyväksyntää sekä raportointia, jos julkaisu leviää laajasti. Vaikka käyttötarkoitus olisi liiketoiminnan ulkopuolinen, yrityksen luottamuksellisen tiedon tai lainvastaisen toiminnan julkaiseminen voidaan kieltää, ja jos tietovuodon mahdollisuus tai laaja levittäminen ilmenee, raportointi voidaan vaatia.

Tietovuotojen torjunta on ryhmäyrityksen yhteinen tehtävä

Suurissa yrityksissä voi olla useita ryhmäyrityksiä. Ryhmäyritysten välillä voi olla luottamuksellisen tiedon vaihtoa, mutta kaikilla ryhmäyrityksillä ei välttämättä ole samaa turvallisuustasoa.

Siksi esimerkiksi jotkut saattavat yrittää hankkia tietoa laittomasti tekemällä luvattoman pääsyn alaryhmäyritykseen, jonka turvallisuus on heikompi kuin emoyrityksen.

Tällaisiin tilanteisiin vastaamiseksi on tärkeää, että ryhmäyritykset eivät toteuta tietovuotojen torjuntatoimenpiteitä erikseen, vaan ryhmäyritykset toteuttavat tietovuotojen torjuntatoimenpiteitä yhdessä.

Yhteenveto: Konsultoi asianajajaa tietovuotoja koskevista yrityksen sisäisistä säännöistä

Olemme selittäneet yritysten oikeudellisille vastuuhenkilöille, kuinka tietovuotojen riskiä voidaan vähentää yrityksen sisäisten sääntöjen avulla. Tietovuotojen estämiseksi on tärkeää toteuttaa toimenpiteitä monista eri näkökulmista.

On tarpeen tarkastella huolellisesti näitä toimenpiteitä koskevia yrityksen sisäisiä sääntöjä asiantuntijanäkökulman avulla. Suosittelemme konsultoimaan asianajajaa, jolla on asiantuntemusta, kun laadit yrityksen sisäisiä sääntöjä.

Liittyvä artikkeli: Yrityksen henkilötietojen vuotamisen riski ja vahingonkorvaus[ja]

Esittely toimistomme toimenpiteistä

Monolis Lakitoimisto on erikoistunut IT- ja erityisesti internet-oikeuteen. Asiantunteva tietämys on välttämätöntä yrityksen sisäisten sääntöjen laatimisessa. Toimistossamme käsitellään erilaisia tapauksia, aina Tokion pörssissä listatuista yrityksistä startup-yrityksiin. Jos tarvitset apua yrityksen sisäisten sääntöjen kanssa, tutustu alla olevaan artikkeliin.