MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Omówienie środków zapobiegających wyciekom informacji: Jakie powinny być treści regulaminów wewnętrznych do opracowania?

General Corporate

Omówienie środków zapobiegających wyciekom informacji: Jakie powinny być treści regulaminów wewnętrznych do opracowania?

Wyciek informacji może zadać śmiertelny cios działalności firmy. Dlatego tak ważne jest, aby wewnętrznie opracować środki zapobiegawcze.

Konkretnie, można rozważyć takie działania jak opracowanie wewnętrznych regulacji i ich stosowanie. Ale jakie konkretnie wewnętrzne regulacje powinny być opracowane? W tym artykule wyjaśniamy, jak opracować wewnętrzne regulacje w celu zmniejszenia ryzyka wycieku informacji, kierując się do osób odpowiedzialnych za sprawy prawne w firmach.

Co to są wewnętrzne przepisy dotyczące wycieku informacji

Wyciek informacji może nastąpić w dowolnym momencie, bez ostrzeżenia. Dlatego ważne jest, aby wcześniej przygotować solidne wewnętrzne przepisy i być przygotowanym na ewentualność wycieku informacji.

Co więcej, nawet jeśli dojdzie do takiej sytuacji jak wyciek informacji, odpowiednie reagowanie zgodnie z wcześniej ustalonymi wewnętrznymi przepisami pozwoli zminimalizować szkody wynikające z wycieku informacji.

Formułowanie podstawowej polityki

Wewnętrzne przepisy dotyczące wycieku informacji: Formułowanie podstawowej polityki

Przede wszystkim, jako firma, warto rozważyć formułowanie podstawowej polityki dotyczącej wycieków informacji, aby jasno określić, jakie podejście przyjmujemy w tej kwestii.

Podstawowa polityka może obejmować na przykład następujące elementy:

  • Treści dotyczące odpowiedzialności firmy i jej zarządu
  • Treści dotyczące przestrzegania przepisów prawnych i innych
  • Treści dotyczące budowy wewnętrznych mechanizmów
  • Treści dotyczące zarządzania informacjami
  • Treści dotyczące działań skierowanych do pracowników
  • Treści dotyczące reakcji w przypadku wycieku informacji
  • Treści dotyczące regularnej rewizji podstawowej polityki

Podstawowa polityka, oprócz aspektu wewnętrznych przepisów, może być również stosowana w formie, która jasno określa podstawowe zasady na zewnątrz, podobnie jak polityka prywatności. Ujawnienie podstawowych zasad na zewnątrz może pokazać wysoki poziom świadomości firmy w zakresie wycieków informacji, co może przyczynić się do poprawy jej reputacji społecznej.

Jednakże, co oczywiste, samo ustanowienie podstawowej polityki nie ma sensu. Należy formułować podstawową politykę zgodnie z rzeczywistą sytuacją firmy, a także ważne jest, aby prowadzić działalność zgodnie z ustanowioną podstawową polityką.

Artykuł powiązany: Jakie są kluczowe punkty przy tworzeniu polityki prywatności zgodnie z japońską ustawą o ochronie danych osobowych?[ja]

Regulacje dotyczące ochrony informacji

W ramach treści regulaminu wewnętrznego, można rozważyć ustanowienie przepisów dotyczących ochrony informacji.

W odniesieniu do treści dotyczących ochrony informacji, można rozważyć ustanowienie takich elementów jak:

Analiza ryzyka wycieku informacji

Jeżeli analiza ryzyka wycieku informacji nie jest wystarczająco przeprowadzona, nie można podjąć odpowiednich działań zgodnie z ryzykiem. Dlatego ważne jest, aby w regulaminie wewnętrznym określić treść dotyczącą analizy ryzyka wycieku informacji jako element ochrony informacji.

Zrozumienie i bazowanie danych posiadanych przez firmę

Jako firma, jeżeli nie zrozumiesz dobrze informacji, które posiadasz, trudno jest je odpowiednio zarządzać. Ponadto, poprzez bazowanie danych posiadanych przez firmę, możliwe staje się odpowiednie zarządzanie informacjami.

Określenie osób obsługujących informacje

Jeżeli w regulaminie wewnętrznym określisz osoby obsługujące informacje posiadane przez firmę, możesz ograniczyć zakres wykorzystania informacji do minimum i zmniejszyć ryzyko wycieku informacji.

Określenie procedur udostępniania i dostarczania informacji

Jeżeli w regulaminie wewnętrznym określisz treść dotyczącą procedur udostępniania i dostarczania informacji posiadanych przez firmę, operacje będą przeprowadzane zgodnie z procedurami. Dzięki temu można uniknąć sytuacji, w której pracownicy korzystają z informacji firmy na podstawie własnego osądu, co w rezultacie może przyczynić się do zapobiegania wyciekom informacji.

Ograniczenie wywożenia informacji na zewnątrz

Jeżeli w regulaminie wewnętrznym określisz treść dotyczącą wywożenia informacji posiadanych przez firmę na zewnątrz, możesz zapobiec sytuacji, w której informacje są niepotrzebnie wywożone na zewnątrz, co może przyczynić się do zapobiegania wyciekom informacji.

Określenie audytu systemu ochrony informacji

Nawet jeżeli firma zbudowała system ochrony informacji, nie ma to sensu, jeżeli operacje nie są przeprowadzane zgodnie z tym systemem.

Dlatego też, w regulaminie wewnętrznym można rozważyć określenie, że podmiot niezależny od audytowanego będzie przeprowadzał audyt systemu ochrony informacji.

Regulacje dotyczące zarządzania ludźmi

Regulacje wewnętrzne dotyczące wycieku informacji: Regulacje dotyczące zarządzania ludźmi

Wycieki informacji mogą wynikać z błędów ludzi obsługujących informacje (błędy ludzkie). Dlatego w regulacjach wewnętrznych można rozważyć określenie zasad dotyczących osób obsługujących informacje.

Co więcej, te regulacje dotyczące zarządzania ludźmi mogą być określone w regulaminie pracy lub regulaminie zarządzania informacjami poufnymi.

Na przykład, można rozważyć określenie następujących zasad:

Obowiązek zachowania tajemnicy informacji

W regulacjach wewnętrznych można określić zasady dotyczące obowiązku zachowania tajemnicy informacji dla pracowników. Określenie obowiązku zachowania tajemnicy informacji pozwala na nałożenie tego obowiązku na pracowników jako obowiązku wynikającego z umowy.

Można również oczekiwać, że pracownicy będą bardziej świadomi obowiązku zachowania tajemnicy informacji.

Zakaz wykorzystywania informacji w celach innych niż zamierzone

Obowiązek zachowania tajemnicy informacji polega przede wszystkim na zapobieganiu wyciekom informacji. Jednakże, oprócz tego, skuteczne w zapobieganiu wyciekom informacji może być również określenie zasady zakazującej wykorzystywania informacji w celach innych niż zamierzone.

Umowa o zachowaniu poufności przy zatrudnieniu

Można również rozważyć zasady wymagające od pracowników przedłożenia umowy o zachowaniu poufności, która obejmuje obowiązek zachowania tajemnicy informacji i zakaz wykorzystywania informacji w celach innych niż zamierzone, przy zatrudnieniu.

Umowa o zachowaniu poufności przy zatrudnieniu ma na celu nie tylko zobowiązanie pracowników do odpowiedzialności umownej, ale także zwiększenie świadomości pracowników na temat zapobiegania wyciekom informacji.

Umowa o zachowaniu poufności przy odejściu z pracy

W przypadku pracowników, ważne jest nie tylko zapobieganie wyciekom informacji podczas zatrudnienia, ale także po odejściu z pracy.

Dlatego można rozważyć wymaganie od pracowników przedłożenia umowy o zachowaniu poufności przy odejściu z pracy, która zobowiązuje ich do nieujawniania informacji, które dowiedzieli się podczas zatrudnienia, nawet po odejściu z pracy. Jest to dlatego, że regulacje wewnętrzne mają zasadniczo skutki tylko wobec pracowników i nie mają skutku po odejściu z pracy.

Szkolenia dla pracowników na temat wycieków informacji

Choć uzyskanie umowy o zachowaniu poufności od pracowników pozwala na pewien stopień świadomości na temat wycieków informacji, sama umowa nie jest zawsze wystarczająca, aby pracownicy zrozumieli powagę powodowania wycieków informacji.

Dlatego warto rozważyć określenie w regulacjach wewnętrznych zasady przeprowadzania regularnych szkoleń wewnętrznych, aby edukować pracowników na temat zapobiegania wyciekom informacji.

Regulacje dotyczące zarządzania fizycznego

Regulacje wewnętrzne dotyczące wycieku informacji: Regulacje dotyczące zarządzania fizycznego

Aby zapobiec wyciekom informacji, konieczne jest stworzenie środowiska, które fizycznie utrudnia wyciek informacji.

Na przykład, w regulaminie wewnętrznym, można rozważyć określenie takich treści dotyczących zarządzania informacjami, jak poniżej.

Zarządzanie dostępem do pomieszczeń przechowujących informacje

W firmie, można rozważyć zredukowanie fizycznego dostępu do informacji poprzez wyraźne określenie stref bezpieczeństwa zgodnie z informacjami, które są obsługiwane wewnątrz, oraz zarządzanie dostępem i zamykaniem tych stref.

Poprzez zmniejszenie fizycznego dostępu do informacji, można oczekiwać, że ryzyko wycieku informacji zostanie zredukowane.

Dostęp do serwera

Jeśli informacje są przechowywane na serwerze, można rozważyć ograniczenie uprawnień dostępu do serwera w regulaminie wewnętrznym.

Jeśli każdy pracownik może łatwo uzyskać dostęp do informacji, ryzyko wycieku informacji wzrasta proporcjonalnie, więc ograniczenie dostępu do serwera przechowującego informacje jest skutecznym środkiem zapobiegania wyciekom informacji.

Obsługa dokumentów i innych nośników

W regulaminie wewnętrznym, ważne jest również, aby konkretnie określić treści dotyczące obsługi i przechowywania informacji podczas ich rzeczywistego obsługiwania.

Na przykład, jeśli informacje są przechowywane na papierze, można rozważyć takie środki jak przechowywanie ich w zamykanym na klucz szafce, czy ustanowienie pomieszczenia do przeglądania informacji i zakazanie ich wynoszenia do innych pomieszczeń.

Regulamin korzystania z urządzeń IT

W ostatnim czasie, z powodu rozwoju internetu i wzrostu liczby pracowników pracujących zdalnie, coraz częściej korzystamy z urządzeń IT do wymiany informacji.

W związku z tym, w regulaminie wewnętrznym firmy, można rozważyć wprowadzenie następujących zasad dotyczących korzystania z urządzeń IT:

Procedura przy otrzymywaniu urządzeń IT od firmy

Przede wszystkim, gdy otrzymujesz komputer lub inne urządzenie IT od firmy, ważne jest, aby prowadzić ewidencję kto i kiedy otrzymał dane urządzenie.

Ponadto, ważne jest, aby regularnie monitorować sposób korzystania z urządzeń IT przez osoby, które otrzymały je od firmy, aby upewnić się, że nie są one używane w środowisku, które sprzyja wyciekom informacji.

Procedura korzystania z prywatnych urządzeń (BYOD)

Ze względu na wzrost liczby pracowników pracujących zdalnie, coraz częściej zdarza się, że pracownicy korzystają ze swoich prywatnych urządzeń IT do pracy. W przypadku komputerów PC lub pamięci USB należących do pracowników, nie zawsze mogą być odpowiednio zabezpieczone.

Ponadto, ze względu na to, że są to urządzenia, z których pracownicy korzystają na co dzień, może zanikać poczucie zagrożenia związanego z przetwarzaniem informacji związanych z pracą, co może prowadzić do niewystarczającego zarządzania.

W związku z tym, w regulaminie wewnętrznym firmy, można rozważyć wprowadzenie procedur i zakazów dotyczących korzystania z prywatnych urządzeń (BYOD) przez pracowników, jeśli firma zdecyduje się na takie rozwiązanie.

Regulacje dotyczące innych wycieków informacji

Wewnętrzne regulacje dotyczące wycieków informacji mogą również obejmować następujące kwestie.

Regulacje dotyczące prywatnego korzystania z mediów społecznościowych (SNS)

Media społecznościowe (SNS) mogą być używane zarówno anonimowo, jak i pod prawdziwym imieniem. W przypadku korzystania anonimowo, istnieje możliwość, że osoba może łatwo publikować posty, ponieważ jest anonimowa. Ponadto, istnieją przypadki, w których posty, które zostały opublikowane z lekkomyślnym przekonaniem, że nie zostaną zauważone przez wiele osób, stają się viralne i są widziane przez wiele osób.

Media społecznościowe mają dużą moc rozpowszechniania, więc jeśli dojdzie do wycieku informacji, istnieje ryzyko, że zostanie ona natychmiast rozpowszechniona.

W związku z tym, w regulacjach wewnętrznych, można rozważyć określenie zasad dotyczących korzystania z mediów społecznościowych przez pracowników.

Na przykład, można podzielić cel korzystania z mediów społecznościowych na “cel biznesowy” i “cel poza biznesem (prywatny)”, i wymagać zgłoszenia i zatwierdzenia w przypadku korzystania w celach biznesowych, a także zgłoszenia w przypadku, gdy post staje się viralny. Nawet jeśli cel jest poza biznesem, można zakazać publikowania informacji poufnych firmy lub rzeczy, które naruszają prawo, i wymagać zgłoszenia, jeśli istnieje możliwość wycieku informacji lub jeśli post staje się viralny.

Zarządzanie wyciekami informacji na poziomie całej grupy firm

W przypadku dużych firm, może istnieć wiele firm w grupie. Możliwe jest, że informacje poufne będą wymieniane między firmami w grupie, ale nie zawsze cała grupa ma ten sam poziom bezpieczeństwa.

W związku z tym, na przykład, niektórzy mogą próbować uzyskać dostęp do informacji nielegalnie, atakując filię, która ma słabsze zabezpieczenia niż firma macierzysta.

Aby sprostać takim sytuacjom, ważne jest, aby firmy w grupie nie podejmowały działań przeciwko wyciekom informacji na własną rękę, ale podejmowały działania przeciwko wyciekom informacji jako jedna jednostka.

Podsumowanie: Konsultacje z prawnikiem dotyczące wewnętrznych przepisów na wypadek wycieku informacji

Wyżej przedstawiliśmy wyjaśnienia dotyczące tworzenia wewnętrznych przepisów w celu zmniejszenia ryzyka wycieku informacji, skierowane do osób odpowiedzialnych za sprawy prawne w firmach. Aby zapobiec wyciekom informacji, ważne jest szerokie wdrażanie środków z różnych perspektyw.

W przypadku wewnętrznych przepisów dotyczących takich środków, konieczne jest ostrożne rozważenie z uwzględnieniem perspektywy specjalistycznej. Zalecamy konsultacje z prawnikiem posiadającym specjalistyczną wiedzę podczas tworzenia wewnętrznych przepisów.

Artykuł powiązany: Ryzyko wycieku danych osobowych przez firmę i odszkodowanie za szkody[ja]

Informacje o środkach podejmowanych przez naszą kancelarię

Kancelaria prawna Monolis specjalizuje się w IT, a w szczególności w prawie internetowym. Posiadamy wysoką specjalizację w obu tych dziedzinach. Przy tworzeniu wewnętrznych regulaminów niezbędna jest specjalistyczna wiedza. W naszej kancelarii przeprowadzamy przeglądy różnych spraw, od firm notowanych na Giełdzie Papierów Wartościowych w Tokio do firm start-up. Jeśli masz problemy z wewnętrznymi regulaminami, zapoznaj się z poniższym artykułem.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Wróć do góry