MONOLITH LAW OFFICE+81-3-6262-3248Hari kerja 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Menguraikan Langkah-langkah Pencegahan Kebocoran Informasi: Apa Isi Peraturan Internal yang Harus Disiapkan

General Corporate

Menguraikan Langkah-langkah Pencegahan Kebocoran Informasi: Apa Isi Peraturan Internal yang Harus Disiapkan

Kebocoran informasi dapat berpotensi memberikan kerusakan fatal pada aktivitas perusahaan. Oleh karena itu, sangat penting untuk membuat langkah-langkah pencegahan secara internal.

Secara spesifik, Anda dapat mempertimbangkan untuk mengatur peraturan internal perusahaan dan menjalankannya sesuai dengan peraturan tersebut. Lalu, peraturan internal seperti apa yang harus ditetapkan? Dalam artikel ini, kami akan menjelaskan tentang pengaturan peraturan internal untuk mengurangi risiko kebocoran informasi, ditujukan untuk personel hukum perusahaan.

Apa itu Peraturan Internal Mengenai Kebocoran Informasi

Kebocoran informasi bisa terjadi kapan saja, tanpa kita tahu kapan dan bagaimana hal itu akan terjadi. Oleh karena itu, sangat penting untuk membuat peraturan internal yang kuat sebelumnya sebagai persiapan menghadapi kebocoran informasi.

Selain itu, jika terjadi situasi yang tidak diinginkan seperti kebocoran informasi, dengan mengikuti peraturan internal yang telah ditetapkan sebelumnya, kita dapat meminimalisir kerugian yang disebabkan oleh kebocoran informasi.

Menetapkan Kebijakan Dasar

Peraturan Perusahaan Mengenai Kebocoran Informasi: Menetapkan Kebijakan Dasar

Pertama-tama, sebagai perusahaan, Anda perlu menetapkan kebijakan dasar mengenai bagaimana Anda akan menangani kebocoran informasi.

Kebijakan dasar ini dapat mencakup hal-hal seperti:

  • Isi yang berkaitan dengan tanggung jawab perusahaan dan manajemen
  • Isi yang berkaitan dengan kepatuhan terhadap hukum dan peraturan lainnya
  • Isi yang berkaitan dengan pembentukan mekanisme internal
  • Isi yang berkaitan dengan manajemen informasi
  • Isi yang berkaitan dengan upaya terhadap karyawan
  • Isi yang berkaitan dengan respons jika terjadi kebocoran informasi
  • Isi yang berkaitan dengan peninjauan periodik kebijakan dasar

Selain menjadi bagian dari peraturan perusahaan, kebijakan dasar juga dapat dioperasikan dalam bentuk yang memperjelas kebijakan dasar kepada publik, seperti kebijakan privasi. Dengan memperjelas kebijakan dasar kepada publik, Anda dapat menunjukkan tingkat kesadaran perusahaan Anda terhadap kebocoran informasi, yang dapat meningkatkan kredibilitas sosial Anda.

Namun, tentu saja, tidak ada artinya hanya menetapkan kebijakan dasar. Anda perlu menetapkan kebijakan dasar yang sesuai dengan realitas perusahaan Anda, dan penting untuk mengoperasikan sesuai dengan kebijakan dasar yang telah Anda tetapkan.

Artikel terkait: Apa poin penting saat membuat kebijakan privasi berdasarkan Undang-Undang Perlindungan Informasi Pribadi Jepang?[ja]

Ketentuan Mengenai Perlindungan Informasi

Sebagai bagian dari peraturan internal perusahaan, kita dapat mempertimbangkan untuk menetapkan ketentuan mengenai perlindungan informasi.

Untuk konten yang berkaitan dengan perlindungan informasi, kita dapat mempertimbangkan untuk menetapkan hal-hal seperti berikut ini.

Analisis Risiko Kebocoran Informasi

Jika analisis risiko kebocoran informasi tidak dilakukan dengan cukup, kita tidak akan dapat merespons dengan tepat sesuai risiko. Oleh karena itu, sangat penting untuk menetapkan konten tentang analisis risiko kebocoran informasi dalam peraturan internal perusahaan sebagai bagian dari perlindungan informasi.

Pemahaman dan Pengaturan Database Informasi yang Dimiliki Perusahaan

Sebagai perusahaan, jika kita tidak memahami dengan baik informasi yang kita miliki, akan sulit untuk melakukan manajemen yang memadai. Selain itu, dengan membuat database informasi yang dimiliki perusahaan, kita dapat melakukan manajemen informasi dengan tepat.

Menentukan Penanggung Jawab Penanganan Informasi

Dalam peraturan internal perusahaan, dengan menentukan penanggung jawab penanganan informasi yang dimiliki perusahaan, kita dapat meminimalkan cakupan penggunaan informasi dan mengurangi risiko kebocoran informasi.

Menetapkan Prosedur Pengungkapan dan Penyediaan Informasi

Dalam peraturan internal perusahaan, dengan menetapkan konten tentang prosedur pengungkapan dan penyediaan informasi yang dimiliki perusahaan, operasi akan dilakukan sesuai dengan prosedur tersebut. Oleh karena itu, kita dapat menghindari situasi di mana karyawan menggunakan informasi perusahaan hanya berdasarkan penilaian mereka sendiri, dan akhirnya, kita dapat mencegah kebocoran informasi.

Membatasi Pengambilan Informasi ke Luar

Dalam peraturan internal perusahaan, dengan menetapkan konten tentang pembatasan pengambilan informasi yang dimiliki perusahaan ke luar, kita dapat mencegah situasi di mana informasi dibawa keluar secara tidak perlu, dan kita dapat mengharapkan efek tertentu dalam mencegah kebocoran informasi.

Menetapkan Audit Sistem Perlindungan Informasi

Meskipun perusahaan telah membangun sistem perlindungan informasi, tidak ada artinya jika operasi tidak dilakukan sesuai dengan sistem perlindungan informasi tersebut.

Oleh karena itu, dalam peraturan internal perusahaan, kita juga dapat mempertimbangkan untuk menetapkan bahwa entitas yang independen dari subjek audit akan melakukan audit terhadap sistem perlindungan informasi.

Ketentuan Mengenai Manajemen Sumber Daya Manusia

Ketentuan internal terkait kebocoran informasi: Ketentuan mengenai manajemen sumber daya manusia

Kebocoran informasi dapat terjadi akibat kesalahan manusia (human error) dalam penanganan informasi. Oleh karena itu, dalam peraturan internal perusahaan, dapat dipertimbangkan untuk menetapkan ketentuan mengenai individu yang menangani informasi.

Perlu dicatat, ketentuan mengenai manajemen sumber daya manusia ini dapat ditetapkan dalam peraturan kerja atau peraturan manajemen informasi rahasia.

Sebagai contoh, dapat dipertimbangkan untuk menetapkan hal-hal berikut:

Kewajiban Kerahasiaan Informasi

Dalam peraturan internal perusahaan, dapat dipertimbangkan untuk menetapkan kewajiban kerahasiaan informasi bagi karyawan. Dengan menetapkan kewajiban kerahasiaan informasi, karyawan dapat diberikan kewajiban kerahasiaan sebagai bagian dari kewajiban kontraktual mereka.

Selain itu, dapat diharapkan untuk meningkatkan kesadaran karyawan mengenai kewajiban kerahasiaan informasi.

Pelarangan Penggunaan Informasi di Luar Tujuan

Kewajiban kerahasiaan informasi pada dasarnya adalah untuk mencegah kebocoran informasi. Namun, selain itu, menetapkan pelarangan penggunaan informasi di luar tujuan juga efektif dalam mencegah kebocoran informasi.

Surat Pernyataan Kerahasiaan Saat Masuk Kerja

Untuk karyawan, dapat dipertimbangkan untuk menetapkan metode yang mengharuskan mereka menyerahkan surat pernyataan kerahasiaan yang mencakup kewajiban kerahasiaan dan pelarangan penggunaan informasi di luar tujuan saat masuk kerja.

Surat pernyataan saat masuk kerja ini, selain memberikan tanggung jawab kontraktual, juga memiliki arti dalam meningkatkan kesadaran karyawan terhadap pencegahan kebocoran informasi.

Surat Pernyataan Kerahasiaan Saat Keluar Kerja

Untuk karyawan, penting untuk mencegah kebocoran informasi selama masa kerja, tetapi juga penting untuk mencegah kebocoran informasi setelah mereka keluar kerja.

Oleh karena itu, dapat dipertimbangkan untuk meminta mereka menyerahkan surat pernyataan yang berisi kewajiban untuk tidak membocorkan informasi yang mereka ketahui selama masa kerja, bahkan setelah mereka keluar kerja. Ini karena peraturan internal perusahaan pada prinsipnya hanya berlaku untuk karyawan dan tidak berlaku setelah mereka keluar kerja.

Pendidikan Karyawan Mengenai Kebocoran Informasi

Dengan mendapatkan surat pernyataan dari karyawan, dapat dilakukan peningkatan kesadaran terhadap pencegahan kebocoran informasi hingga tingkat tertentu, tetapi hanya dengan surat pernyataan, tidak selalu cukup untuk membuat karyawan menyadari betapa pentingnya mencegah kebocoran informasi.

Oleh karena itu, dapat dipertimbangkan untuk menetapkan dalam peraturan internal perusahaan untuk melakukan pelatihan internal perusahaan secara berkala dan memberikan pendidikan kepada karyawan tentang pencegahan kebocoran informasi.

Peraturan Mengenai Manajemen Fisik

Peraturan internal mengenai kebocoran informasi: Peraturan mengenai manajemen fisik

Untuk mencegah kebocoran informasi, penting untuk membangun lingkungan yang sulit bagi informasi untuk bocor secara fisik.

Sebagai contoh, dalam peraturan internal, Anda dapat menetapkan hal-hal berikut sebagai konten yang berkaitan dengan manajemen informasi:

Manajemen Masuk dan Keluar Ruangan Tempat Menyimpan Informasi

Dengan menentukan zona keamanan berdasarkan informasi yang ditangani di dalam perusahaan, dan mengelola masuk dan keluar serta penguncian setiap zona, Anda dapat mengurangi akses fisik ke informasi.

Dengan mengurangi akses fisik ke informasi, Anda dapat mengurangi risiko kebocoran informasi.

Akses ke Server

Jika Anda menyimpan informasi di server, Anda dapat membatasi akses ke server dalam peraturan internal perusahaan.

Jika setiap karyawan dapat dengan mudah mengakses informasi, risiko kebocoran informasi akan meningkat. Oleh karena itu, membatasi akses ke server tempat menyimpan informasi adalah efektif untuk mencegah kebocoran informasi.

Pengelolaan Dokumen dan Media Lainnya

Dalam peraturan internal, penting untuk menentukan secara spesifik tentang penanganan dan penyimpanan saat menangani informasi secara langsung.

Sebagai contoh, jika informasi berada dalam bentuk kertas, Anda dapat mempertimbangkan untuk menyimpannya dalam lemari yang dapat dikunci, atau menetapkan ruangan khusus untuk melihat informasi dan tidak dapat membawanya keluar dari ruangan tersebut.

Peraturan Mengenai Penggunaan Peralatan IT

Akhir-akhir ini, kesempatan untuk bertukar informasi menggunakan peralatan IT telah meningkat karena alasan seperti perkembangan internet dan peningkatan pelaksanaan kerja jarak jauh.

Oleh karena itu, dalam peraturan internal perusahaan, dapat dipertimbangkan untuk menetapkan konten seperti berikut mengenai penggunaan peralatan IT.

Prosedur Penerimaan Peralatan IT dari Perusahaan

Pertama, ketika menerima pinjaman peralatan IT seperti komputer dari perusahaan, penting untuk mengelola siapa yang menerima pinjaman dan kapan.

Selain itu, penting juga untuk memahami kondisi penggunaan setiap periode tertentu untuk memastikan bahwa mereka yang menerima pinjaman peralatan IT dari perusahaan tidak menggunakan peralatan IT dalam lingkungan yang rentan terhadap kebocoran informasi.

Prosedur Penggunaan Perangkat Pribadi (BYOD)

Dengan peningkatan kerja dari rumah, kasus penggunaan perangkat IT pribadi karyawan untuk pekerjaan juga meningkat. Jika PC atau USB flash drive adalah milik pribadi karyawan, mungkin tidak selalu ada tindakan keamanan yang memadai.

Selain itu, karena ini adalah perangkat IT yang biasa digunakan, karyawan mungkin merasa kurang waspada dalam menangani informasi terkait pekerjaan, dan manajemen mungkin menjadi tidak memadai.

Oleh karena itu, dalam peraturan internal perusahaan, jika perusahaan mengizinkan karyawan menggunakan perangkat pribadi (BYOD), dapat dipertimbangkan untuk menetapkan prosedur dan larangan penggunaan perangkat pribadi (BYOD).

Ketentuan Mengenai Kebocoran Informasi Lainnya

Selain itu, dalam peraturan internal perusahaan mengenai kebocoran informasi, dapat dipertimbangkan untuk menetapkan hal-hal berikut.

Ketentuan Mengenai Penggunaan Pribadi SNS

Ada SNS yang digunakan dengan nama asli dan ada juga yang digunakan secara anonim. Dalam kasus anonim, ada kemungkinan untuk melakukan posting di SNS dengan mudah karena anonimitas. Selain itu, ada juga kasus di mana postingan yang dilakukan dengan perasaan ringan, berpikir bahwa tidak akan banyak orang yang melihatnya, menjadi viral dan dilihat oleh banyak orang.

SNS memiliki kekuatan penyebaran, sehingga jika terjadi kebocoran informasi, ada kemungkinan akan tersebar dengan cepat.

Oleh karena itu, dalam peraturan internal, mungkin juga dipertimbangkan untuk menetapkan isi tentang penggunaan SNS oleh karyawan.

Sebagai contoh, tujuan penggunaan SNS dapat dibagi menjadi “tujuan bisnis” dan “tujuan non-bisnis (pribadi)”, dan dalam kasus tujuan bisnis, metode seperti pengajuan dan persetujuan, serta pelaporan saat menjadi viral dapat diwajibkan. Bahkan untuk tujuan non-bisnis, dilarang menulis informasi rahasia perusahaan atau hal-hal yang melanggar hukum, dan jika ada kemungkinan kebocoran informasi atau menjadi viral, pelaporan dapat diwajibkan.

Upaya Pencegahan Kebocoran Informasi Dilakukan oleh Seluruh Grup Perusahaan

Jika perusahaan berskala besar, mungkin ada beberapa grup perusahaan. Meskipun mungkin ada pertukaran informasi rahasia antara perusahaan grup, tidak selalu semua grup memiliki tingkat keamanan yang sama.

Oleh karena itu, misalnya, ada orang yang berpikir untuk melakukan akses ilegal ke anak perusahaan yang memiliki keamanan lebih lemah daripada perusahaan induk dan mencoba mendapatkan informasi secara ilegal.

Untuk menghadapi situasi seperti ini, bukan hanya perusahaan grup yang melakukan upaya pencegahan kebocoran informasi secara terpisah, tetapi juga penting bagi perusahaan grup untuk bekerja sama dalam melakukan upaya pencegahan kebocoran informasi.

Rangkuman: Konsultasikan Kebijakan Internal Mengenai Kebocoran Informasi kepada Pengacara

Sejauh ini, kami telah menjelaskan tentang pengembangan kebijakan internal untuk mengurangi risiko kebocoran informasi, ditujukan untuk penanggung jawab hukum perusahaan. Untuk mencegah kebocoran informasi, sangat penting untuk menerapkan langkah-langkah pencegahan dari berbagai sudut secara luas.

Untuk kebijakan internal terkait langkah-langkah seperti ini, perlu dilakukan pertimbangan hati-hati dengan melibatkan perspektif profesional. Kami menyarankan Anda untuk berkonsultasi dengan pengacara yang memiliki pengetahuan profesional saat mengembangkan kebijakan internal.

Artikel terkait: Risiko Kebocoran Informasi Pribadi Perusahaan dan Ganti Rugi[ja]

Panduan Strategi dari Kantor Kami

Kantor Hukum Monolis adalah kantor hukum yang memiliki keahlian tinggi dalam IT, khususnya internet dan hukum. Pengetahuan profesional sangat penting dalam pembuatan peraturan internal perusahaan. Di kantor kami, kami melakukan review untuk berbagai kasus, mulai dari perusahaan yang terdaftar di Bursa Efek Tokyo hingga perusahaan startup. Jika Anda mengalami kesulitan dengan peraturan internal, silakan merujuk ke artikel di bawah ini.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Kembali ke atas