MONOLITH LAW OFFICE+81-3-6262-3248Dias da semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Explicação das medidas de prevenção de vazamento de informações: O que deve ser incluído nas regras internas a serem estabelecidas

General Corporate

Explicação das medidas de prevenção de vazamento de informações: O que deve ser incluído nas regras internas a serem estabelecidas

A fuga de informações pode causar danos fatais às atividades empresariais. Portanto, é importante criar medidas preventivas internamente.

Concretamente, pode-se considerar a implementação de regulamentos internos e a sua operação de acordo com os mesmos. Mas que tipo de regulamentos internos devem ser estabelecidos especificamente? Neste artigo, explicaremos como estabelecer regulamentos internos para reduzir o risco de fuga de informações, destinado aos responsáveis legais das empresas.

O que são as normas internas relativas a fugas de informação

As fugas de informação podem ocorrer a qualquer momento e em qualquer circunstância. Por isso, é importante criar normas internas sólidas com antecedência para estar preparado para tais situações.

Além disso, mesmo no caso improvável de ocorrer uma fuga de informação, ao responder adequadamente de acordo com as normas internas previamente estabelecidas, é possível minimizar os danos causados pela fuga de informação.

Elaboração de uma Política Básica

Regras internas sobre vazamento de informações: Elaboração de uma Política Básica

Em primeiro lugar, como empresa, é importante estabelecer uma política básica sobre como lidar com vazamentos de informações.

Na política básica, pode-se considerar a inclusão de itens como os seguintes:

  • Conteúdo relacionado à responsabilidade da empresa e dos gestores
  • Conteúdo relacionado à conformidade com leis e regulamentos
  • Conteúdo relacionado à construção de mecanismos internos
  • Conteúdo relacionado à gestão de informações
  • Conteúdo relacionado às iniciativas para os funcionários
  • Conteúdo relacionado à resposta em caso de vazamento de informações
  • Conteúdo relacionado à revisão periódica da política básica

Além de ser uma regra interna, a política básica pode ser operada de forma semelhante a uma política de privacidade, tornando a política básica clara para o exterior. Ao tornar a política básica clara para o exterior, é possível demonstrar a alta consciência da empresa em relação aos vazamentos de informações, o que pode levar a uma melhoria na confiança social.

No entanto, é claro que simplesmente estabelecer uma política básica não é suficiente. É necessário estabelecer uma política básica de acordo com a realidade da empresa, e é importante operar de acordo com a política básica estabelecida.

Artigo relacionado: Quais são os pontos a considerar ao criar uma política de privacidade com base na Lei Japonesa de Proteção de Dados Pessoais?[ja]

Regulamentos sobre a Proteção de Informações

Como parte do conteúdo dos regulamentos internos, pode-se considerar a definição de disposições relativas à proteção de informações.

Quanto ao conteúdo relativo à proteção de informações, por exemplo, pode-se considerar a definição dos seguintes conteúdos:

Análise de Risco de Vazamento de Informações

Se a análise de risco de vazamento de informações não for suficientemente realizada, não será possível tomar medidas adequadas de acordo com o risco. Portanto, é importante definir o conteúdo relativo à análise de risco de vazamento de informações nos regulamentos internos como parte do conteúdo relativo à proteção de informações.

Compreensão e Base de Dados das Informações Possuídas pela Empresa

Como empresa, se não tivermos uma boa compreensão das informações que possuímos, será difícil geri-las adequadamente. Além disso, ao transformar as informações que a empresa possui em uma base de dados, será possível gerir as informações adequadamente.

Definir o Manipulador de Informações

Nos regulamentos internos, ao definir o manipulador das informações possuídas pela empresa, é possível limitar o alcance do uso das informações ao mínimo, reduzindo o risco de vazamento de informações.

Definir o Procedimento de Divulgação e Fornecimento de Informações

Nos regulamentos internos, ao definir claramente o conteúdo do procedimento de divulgação e fornecimento de informações possuídas pela empresa, será realizada uma operação de acordo com o procedimento. Portanto, é possível evitar situações em que os funcionários utilizem as informações da empresa apenas com base em seu próprio julgamento, o que pode levar à prevenção de vazamentos de informações.

Limitar a Remoção de Informações para o Exterior

Nos regulamentos internos, ao definir o conteúdo relativo à remoção de informações possuídas pela empresa para o exterior, é possível prevenir situações em que as informações sejam desnecessariamente removidas para o exterior, o que pode ter um certo efeito na prevenção de vazamentos de informações.

Definir a Auditoria do Sistema de Proteção de Informações

Mesmo que a empresa tenha estabelecido um sistema de proteção de informações, não faz sentido se a operação de acordo com esse sistema de proteção de informações não for realizada.

Portanto, nos regulamentos internos, pode-se considerar a definição de que uma entidade independente do objeto de auditoria realizará uma auditoria sobre o sistema de proteção de informações.

Regulamentos sobre Gestão de Pessoas

Regulamentos internos sobre vazamento de informações: Regulamentos sobre gestão de pessoas

Os vazamentos de informação podem ocorrer devido a erros humanos. Portanto, é possível considerar a inclusão de disposições sobre as pessoas que lidam com informações nos regulamentos internos.

Além disso, é possível considerar a inclusão dessas disposições sobre gestão de pessoas nas regras de trabalho e nos regulamentos de gestão de informações confidenciais.

Por exemplo, é possível considerar a inclusão das seguintes disposições:

Obrigação de Confidencialidade das Informações

Nos regulamentos internos, é possível estabelecer disposições sobre a obrigação de confidencialidade das informações para os funcionários. Ao estabelecer a obrigação de confidencialidade das informações, é possível impor aos funcionários uma obrigação contratual de confidencialidade.

Além disso, é possível esperar que os funcionários sejam conscientizados sobre a obrigação de confidencialidade das informações.

Proibição do Uso de Informações para Fins Não Autorizados

A obrigação de confidencialidade das informações, em primeiro lugar, implica em não vazar as informações. No entanto, além disso, é eficaz estabelecer disposições que proíbam o uso de informações para fins não autorizados para prevenir vazamentos de informações.

Declaração de Confidencialidade na Admissão

Para os funcionários, é possível estabelecer um método que exija a apresentação de uma declaração de confidencialidade que inclua a obrigação de confidencialidade e a proibição do uso de informações para fins não autorizados no momento da admissão.

A declaração de confidencialidade na admissão tem o significado de impor uma responsabilidade contratual e também de conscientizar os funcionários sobre a prevenção de vazamentos de informações.

Declaração de Confidencialidade na Demissão

Para os funcionários, é necessário não apenas prevenir vazamentos de informações durante o emprego, mas também após a demissão.

Portanto, é possível considerar a exigência de uma declaração na demissão que inclua a não divulgação de informações conhecidas durante o emprego após a demissão. Isto é porque os regulamentos internos, em princípio, só têm efeito sobre os funcionários e não têm efeito após a demissão.

Educação dos Funcionários sobre Vazamento de Informações

Obter uma declaração dos funcionários pode conscientizá-los até certo ponto sobre a prevenção de vazamentos de informações, mas uma declaração por si só pode não ser suficiente para fazer os funcionários perceberem a gravidade de causar um vazamento de informações.

Portanto, é útil incluir nos regulamentos internos a realização de treinamentos corporativos periódicos e a educação dos funcionários sobre a prevenção de vazamentos de informações.

Regulamentos sobre Gestão Física

Regulamentos internos sobre vazamento de informações: Regulamentos sobre gestão física

Para prevenir o vazamento de informações, é necessário criar um ambiente que dificulte fisicamente o vazamento de informações.

Por exemplo, nos regulamentos internos, pode-se considerar a definição de conteúdos como os seguintes, relacionados à gestão de informações:

Gestão de entrada e saída da sala onde as informações são armazenadas

É possível reduzir o acesso físico às informações, definindo claramente as zonas de segurança de acordo com as informações tratadas internamente e gerindo a entrada e saída e o trancamento dessas zonas.

Reduzindo o acesso físico às informações, pode-se esperar que o risco de vazamento de informações seja reduzido.

Acesso ao servidor

Se as informações estiverem armazenadas num servidor, pode-se considerar a limitação do direito de acesso ao servidor nos regulamentos internos.

Se todos os funcionários puderem facilmente aceder às informações, o risco de vazamento de informações aumentará, por isso, limitar o acesso ao servidor onde as informações são armazenadas é eficaz para prevenir o vazamento de informações.

Manuseio de documentos e outros meios

Nos regulamentos internos, é importante definir concretamente o conteúdo relacionado ao manuseio e armazenamento quando se lida efetivamente com as informações.

Por exemplo, se as informações estiverem num meio de papel, pode-se considerar a armazenagem num armário com fechadura e a definição de uma sala para visualização de informações, onde não se pode levar as informações para outras salas.

Regulamento sobre a utilização de equipamentos de TI

Recentemente, devido ao desenvolvimento da internet e ao aumento da implementação do trabalho remoto, as oportunidades de troca de informações através de equipamentos de TI têm aumentado.

Portanto, é possível estabelecer no regulamento interno da empresa, conteúdos relacionados à utilização de equipamentos de TI, como os seguintes:

Procedimentos para receber equipamentos de TI emprestados pela empresa

Primeiramente, quando se recebe um empréstimo de equipamentos de TI, como computadores, da empresa, é importante gerir quem e quando recebeu o empréstimo.

Além disso, é importante verificar regularmente se os indivíduos que receberam equipamentos de TI emprestados pela empresa não estão a utilizá-los num ambiente onde é fácil ocorrer vazamento de informações.

Procedimentos para a utilização de dispositivos pessoais (BYOD)

Com o aumento do trabalho a partir de casa, também tem aumentado os casos em que os dispositivos de TI pessoais dos funcionários são utilizados para o trabalho. No caso de PCs e memórias USB serem propriedade dos funcionários, pode não haver necessariamente medidas de segurança adequadas.

Além disso, como são dispositivos de TI que os funcionários utilizam normalmente, pode haver uma diminuição da sensação de crise de que estão a lidar com informações relacionadas ao trabalho, e a gestão pode tornar-se insuficiente.

Portanto, no regulamento interno da empresa, quando a empresa permite aos funcionários a utilização de dispositivos pessoais (BYOD), pode-se considerar a definição de procedimentos e proibições para a utilização de dispositivos pessoais (BYOD).

Regulamentos sobre outros tipos de vazamento de informações

Além disso, nos regulamentos internos relacionados ao vazamento de informações, pode-se considerar a definição das seguintes questões.

Regulamentos sobre o uso pessoal das redes sociais

Existem redes sociais que são usadas com nomes reais e outras que são usadas anonimamente. No caso do uso anónimo, pode haver a possibilidade de postar facilmente nas redes sociais devido ao anonimato. Além disso, se postar com a sensação leve de que não será visto por muitas pessoas e isso se tornar viral, pode haver casos em que acaba sendo visto por muitas pessoas.

As redes sociais têm um grande poder de disseminação, por isso, se ocorrer um vazamento de informações, há o risco de se espalhar rapidamente.

Portanto, nos regulamentos internos, pode-se considerar a definição de regras sobre o uso das redes sociais pelos funcionários.

Por exemplo, pode-se dividir o propósito do uso das redes sociais em “propósito de trabalho” e “fora do propósito de trabalho (privado)”, e no caso de uso para fins de trabalho, pode-se obrigar a solicitar e aprovar, e a relatar em caso de viralização. Mesmo que seja para fins fora do trabalho, pode-se proibir a escrita de informações confidenciais da empresa e coisas que violem a lei, e pode-se considerar a obrigatoriedade de relatar em caso de possibilidade de vazamento de informações ou viralização.

Medidas contra vazamento de informações devem ser tomadas por todas as empresas do grupo

Se for uma empresa de grande porte, pode haver casos em que existem várias empresas do grupo. Pode haver a possibilidade de troca de informações confidenciais entre as empresas do grupo, mas nem todas as empresas do grupo necessariamente têm o mesmo nível de segurança.

Portanto, por exemplo, há pessoas que tentam acessar ilegalmente e obter informações de uma subsidiária com segurança mais fraca do que a empresa-mãe.

Para lidar com tal situação, é importante que as empresas do grupo não tomem medidas contra o vazamento de informações de forma dispersa, mas que todas as empresas do grupo tomem medidas contra o vazamento de informações juntas.

Resumo: Consulte um advogado sobre regulamentos internos relacionados a vazamentos de informações

Acima, explicamos como desenvolver regulamentos internos para reduzir o risco de vazamentos de informações, direcionados aos responsáveis legais das empresas. Para prevenir vazamentos de informações, é importante implementar medidas de vários ângulos.

Quanto a tais regulamentos internos, é necessário considerar cuidadosamente com uma perspectiva especializada. Recomendamos que consulte um advogado com conhecimento especializado ao desenvolver regulamentos internos.

Artigo relacionado: O risco de vazamento de informações pessoais da empresa e compensação por danos[ja]

Apresentação das medidas propostas pelo nosso escritório

O escritório de advocacia Monolis é especializado em IT, particularmente na intersecção entre a Internet e a lei. O conhecimento especializado é essencial na elaboração de regulamentos internos. No nosso escritório, realizamos revisões para uma variedade de casos, desde empresas listadas na Bolsa de Valores de Tóquio até startups. Se tiver problemas com os regulamentos internos, consulte o artigo abaixo.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Retornar ao topo