정보 유출 방지책을 설명하다: 정비해야 할 사내 규정의 내용은 무엇인가

정보 유출은 기업 활동에 치명적인 손상을 입힐 가능성이 있습니다. 따라서, 내부적으로 예방책을 마련해 두는 것이 중요합니다.

구체적으로는 사내 규정을 정비하고, 그에 따른 운영을 실시하는 것 등이 고려될 수 있습니다. 그렇다면 구체적으로 어떤 사내 규정을 마련해야 할까요? 이 글에서는 기업의 법무 담당자를 대상으로, 정보 유출의 위험을 줄이기 위한 사내 규정의 정비에 대해 설명하겠습니다.

정보 유출에 관한 사내 규정이란?

정보 유출은 언제, 어떤 상황에서 발생할지 예측할 수 없습니다. 따라서, 사전에 철저한 사내 규정을 마련하고, 정보 유출에 대비하는 것이 중요합니다.

또한, 만일 정보 유출이라는 상황이 발생했을 경우에도, 미리 정해둔 사내 규정에 따라 적절하게 대응함으로써, 정보 유출로 인한 피해를 최소화할 수 있습니다.

기본 정책을 수립하는 방법

먼저, 기업으로서 정보 유출에 어떤 방침으로 대응할 것인지를 명확히 하기 위해, 정보 유출에 관한 기본 정책을 수립하는 것이 중요합니다.

기본 정책에는 예를 들어, 다음과 같은 내용을 규정하는 것이 가능합니다.

• 기업 및 경영자의 책임에 관한 내용
• 법률 등의 준수에 관한 내용
• 회사 내부의 체계 구축에 관한 내용
• 정보 관리에 관한 내용
• 직원에 대한 접근 방식에 관한 내용
• 정보 유출이 발생한 경우의 대응에 관한 내용
• 기본 정책의 정기적인 검토에 관한 내용

기본 정책에 대해서는, 회사 규정이라는 측면 외에도, 프라이버시 정책처럼, 대외적으로 기본 방침을 명확히 하는 운영 방식도 고려할 수 있습니다. 대외적으로 기본 방침을 명확히 함으로써, 정보 유출에 대한 회사의 인식의 높음을 보여줄 수 있으며, 이는 사회적 신뢰도 향상에도 도움이 될 수 있습니다.

그러나, 당연하게도, 단순히 기본 정책을 설정하는 것만으로는 의미가 없습니다. 회사의 실정에 맞게 기본 정책을 설정하고, 설정한 기본 정책에 따라 운영을 진행하는 것이 중요합니다.

관련 기사: 개인정보보호법을 고려한 프라이버시 정책 작성 시의 주요 포인트는?[ja]

정보 보호에 관한 규정

회사 내규의 내용으로서, 정보 보호에 관한 내용을 규정하는 것이 고려됩니다.

정보 보호에 관한 내용에 대해서는, 예를 들어, 다음과 같은 내용을 설정하는 것이 고려됩니다.

정보 유출의 위험 분석

정보 유출에 대한 위험 분석이 충분히 이루어지지 않으면, 위험에 따른 적절한 대응을 할 수 없습니다. 따라서, 정보 보호에 관한 내용으로서, 회사 내규에서 정보 유출의 위험 분석에 관한 내용을 정하는 것이 중요합니다.

회사가 보유하는 정보의 파악과 데이터베이스화

회사로서, 회사가 보유하는 정보를 확실히 파악하지 않으면, 충분한 관리를 할 수 없게 됩니다. 또한, 회사가 보유하는 정보를 데이터베이스화함으로써, 정보의 관리를 적절하게 할 수 있게 됩니다.

정보의 취급자를 정하는 것

회사 내규에서, 회사가 보유하는 정보의 취급자를 정해두면, 정보가 사용되는 범위를 최소한으로 유지할 수 있고, 정보 유출의 위험을 줄일 수 있습니다.

정보의 공개 및 제공의 절차를 정하는 것

회사 내규에서, 회사가 보유하는 정보의 공개 및 제공에 관한 절차 등의 내용을 확실히 정해두면, 절차에 따른 운영이 이루어질 것입니다. 따라서, 직원이 자신의 판단만으로 회사의 정보를 사용하는 등의 상황을 피할 수 있고, 결과적으로, 정보 유출의 방지에 이어질 것으로 생각됩니다.

정보의 외부로의 반출을 제한하는 것

회사 내규에서, 회사가 보유하는 정보의 외부로의 반출에 관한 내용을 정해두면, 정보가 불필요하게 외부로 반출되는 상황을 방지할 수 있고, 정보 유출의 방지에 일정한 효과가 기대됩니다.

정보 보호 체계의 감사에 대해 정하는 것

회사가 정보 보호 체계를 구축했다 하더라도, 그 정보 보호 체계에 따른 운영이 이루어지지 않으면 의미가 없습니다.

그래서, 회사 내규에서, 감사 대상에서 독립된 주체가, 정보 보호 체계에 대해 감사를 실시한다는 내용을 규정하는 것도 고려됩니다.

인적 관리에 관한 규정

정보 유출은 정보를 다루는 사람의 실수(휴먼 에러)로 발생하는 경우도 있습니다. 따라서, 사내 규정에서는 정보를 다루는 사람에 관한 내용을 규정하는 것이 필요하다고 생각됩니다.

또한, 이러한 인적 관리에 관한 규정은 근로규칙이나 기밀정보 관리 규정 등에서 그 내용을 규정하는 것도 고려할 수 있습니다.

예를 들어, 다음과 같은 내용을 규정하는 것이 고려될 수 있습니다.

정보의 비밀유지 의무

사내 규정에서는 직원을 대상으로 정보의 비밀유지 의무에 관한 내용을 정하는 것이 고려됩니다. 정보의 비밀유지 의무를 정함으로써, 직원에게 계약상의 의무로서 비밀유지 의무를 부과할 수 있게 됩니다.

또한, 직원에게 정보의 비밀유지 의무에 대한 인식을 높이는 것이 기대될 수 있습니다.

정보의 목적 외 이용 금지

정보의 비밀유지 의무는 기본적으로 정보를 유출하지 않는 것을 의미합니다. 그러나 그 외에도, 정보의 목적 외 이용을 금지하는 내용을 정하는 것도 정보 유출 방지에 효과적이라고 할 수 있습니다.

입사 시 비밀유지 서약서

직원에게는 입사 시 비밀유지 의무와 정보의 목적 외 이용 금지를 포함하는 비밀유지 서약서를 제출하도록 규정하는 방법도 있습니다.

입사 시 서약서는 계약상의 책임을 부과하는 것과 동시에, 직원에게 정보 유출 방지에 대한 인식을 높이는 의미도 있습니다.

퇴직 시 비밀유지 서약서

직원에 대해서는 근무 중에 정보를 유출하지 않도록 하는 것은 물론, 퇴직 후에도 정보를 유출하지 않도록 해야 합니다.

따라서, 퇴직 시에 근무 중에 알게 된 정보를 퇴직 후에도 유출하지 않는 것을 내용으로 하는 서약서의 제출을 요구하는 것도 고려될 수 있습니다. 이는 사내 규정이 원칙적으로 직원 등에 대한 효과만 있으며, 퇴직 후에는 효력이 없기 때문입니다.

정보 유출에 관한 직원 교육

직원으로부터 서약서를 받음으로써, 어느 정도 정보 유출에 대한 인식을 높일 수 있지만, 서약서만으로는 정보 유출의 중대성을 직원에게 인식시키는 데 충분하지 않을 수 있습니다.

그래서, 일정 기간마다 기업 내 교육을 실시하거나, 직원에게 정보 유출을 방지하기 위한 교육을 실시하는 것을 사내 규정에 정해두는 것도 유용합니다.

물리적 관리에 관한 규정

정보 유출을 방지하기 위해서는, 물리적으로 정보가 유출되기 어려운 환경을 구축하는 것이 필요합니다.

예를 들어, 사내 규정에서 정보 관리에 관한 내용으로, 다음과 같은 내용을 규정하는 것이 고려될 수 있습니다.

정보를 보관하는 방의 출입 관리

사내에서 다루는 정보에 따른 보안 구역을 명확히 하고, 각 구역의 출입 관리나 잠금 등의 관리를 통해 정보에 대한 물리적 접근을 줄일 수 있습니다.

정보에 대한 물리적 접근을 줄이는 것으로, 정보 유출이 발생하는 위험을 낮출 수 있습니다.

서버에 대한 접근

정보를 서버 등에 저장하고 있는 경우, 사내 규정에서 서버에 접근하는 권한을 제한하는 것이 고려될 수 있습니다.

직원이 누구나 쉽게 정보에 접근할 수 있다면, 그만큼 정보 유출의 위험이 높아지므로, 정보를 보관하는 서버에 대한 접근을 제한하는 것은 정보 유출을 방지하는 데 효과적이라고 할 수 있습니다.

문서 및 기타 매체의 취급

사내 규정에서, 정보를 실제로 다루는 경우의 취급이나 보관에 관한 내용을 구체적으로 정해두는 것도 중요합니다.

예를 들어, 정보가 종이 매체인 경우, 잠금이 가능한 캐비넷에서 보관하거나, 정보 열람용 방을 마련하고 다른 방으로는 가져갈 수 없도록 규정하는 것 등이 고려될 수 있습니다.

IT 장비 이용에 관한 규정

최근에는 인터넷의 발전과 원격 근무 실시의 증가 등의 이유로, IT 장비를 이용하여 정보를 주고받는 기회가 늘고 있습니다.

따라서, 회사 내규에서는 IT 장비의 이용에 관하여, 다음과 같은 내용을 규정하는 것이 고려됩니다.

회사로부터 IT 장비의 대여를 받을 때의 절차

먼저, 회사로부터 컴퓨터 등의 IT 장비의 대여를 받을 경우에는, 누가 언제 대여를 받았는지 등을 관리하는 것이 중요합니다.

또한, 회사로부터 IT 장비의 대여를 받은 사람이 정보 유출이 쉽게 발생할 수 있는 환경에서 IT 장비를 이용하고 있지 않은지 확인하기 위해, 일정 기간마다 이용 상황을 파악하는 것도 중요합니다.

개인 소유 기기(BYOD)의 이용 절차

재택 근무가 증가함에 따라, 직원의 개인 소유 IT 기기를 업무에 사용하는 경우도 늘고 있습니다. PC나 USB 메모리 등이 직원의 개인 소유인 경우, 반드시 충분한 보안 조치가 이루어져 있지 않을 가능성도 있습니다.

또한, 평소 사용하고 있는 IT 기기이기 때문에, 직원으로서는 업무 관련 정보를 다루고 있다는 위기감이 약해져, 관리가 미흡해질 가능성도 있습니다.

그러므로, 회사 내규에서는, 회사가 직원에게 개인 소유 기기(BYOD)의 이용을 인정하는 경우에는, 개인 소유 기기(BYOD)의 이용을 위한 절차와 금지 사항을 정하는 것도 고려됩니다.

기타 정보 유출에 관한 규정

또한, 정보 유출에 관한 사내 규정에서는 다음과 같은 사항을 정해두는 것이 고려됩니다.

SNS 개인 사용에 관한 규정

SNS에는 실명으로 사용하는 것과 익명으로 사용하는 것이 있지만, 익명의 경우에는 익명이라는 점에서 경솔하게 SNS에 게시물을 올리는 가능성도 있습니다. 또한, 그렇게 많은 사람들이 볼 것이라고 생각하지 않고 가볍게 게시하면, 그것이 화제가 되어 많은 사람들이 볼 수 있는 경우도 있습니다.

SNS는 확산력이 있기 때문에, 정보 유출이 발생하면 순식간에 확산될 수 있습니다.

따라서, 사내 규정에서는 직원들의 SNS 사용에 관한 내용을 규정하는 것도 고려됩니다.

예를 들어, SNS의 사용 목적을 ‘업무 목적’과 ‘업무 외 목적(개인적)’으로 나누고, 업무 목적의 경우에는 신청 및 승인, 화제가 되었을 때의 보고 등을 의무화하는 방법이 있습니다. 업무 외 목적이라도, 회사의 기밀 정보나 법률 위반에 해당하는 내용을 작성하는 것을 금지하고, 정보 유출의 가능성이 있거나 화제가 되었을 경우에는 보고를 의무화하는 것이 고려됩니다.

정보 유출 대책은 그룹 회사 전체에서 추진

규모가 큰 회사라면, 여러 그룹 회사가 존재하는 경우가 있습니다. 그룹 회사 간에 기밀 정보를 주고받는 가능성도 있지만, 반드시 그룹 전체가 동일한 수준의 보안을 갖추고 있는 것은 아닙니다.

따라서, 예를 들어, 모회사보다 보안이 약한 자회사에 대해 불법 접근을 시도하고, 정보를 불법으로 획득하려는 사람도 있습니다.

이러한 상황에 대응하기 위해, 그룹 회사가 각각 정보 유출에 대한 대책을 세우는 것이 아니라, 그룹 회사가 통합하여 정보 유출에 대한 대책을 세우는 것이 중요합니다.

결론: 정보 유출에 관한 사내 규정은 변호사에게 상담을

지금까지, 기업의 법무 담당자를 대상으로, 정보 유출의 위험을 줄이기 위한 사내 규정의 정비에 대해 설명하였습니다. 정보 유출을 방지하기 위해서는, 다양한 관점에서 대책을 넓게 실시해 나가는 것이 중요합니다.

이러한 대책에 관한 사내 규정에 대해서는, 전문적인 시각을 더해 신중한 검토를 진행할 필요성이 있습니다. 사내 규정을 정비하는 과정에서는 전문 지식을 가진 변호사에게 상담하는 것을 권장드립니다.

관련 기사: 기업의 개인 정보 유출과 손해 배상 위험[ja]

본 법률사무소의 대책 안내

모노리스 법률사무소는 IT, 특히 인터넷과 법률의 양면에 고도의 전문성을 갖춘 법률사무소입니다. 사내 규정의 설정에는 전문적인 지식이 필수적입니다. 본 사무소에서는 도쿄 증권 거래소 상장 기업부터 벤처 기업까지, 다양한 사건에 대한 검토를 진행하고 있습니다. 만약 사내 규정에 대해 고민이 있다면, 아래 기사를 참조해 주시기 바랍니다.