MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Förklaring av förebyggande åtgärder mot informationsläckage: Innehållet i företagspolicyer som bör utvecklas

General Corporate

Förklaring av förebyggande åtgärder mot informationsläckage: Innehållet i företagspolicyer som bör utvecklas

Informationsläckor kan potentiellt orsaka allvarlig skada på företagsverksamhet. Därför är det viktigt att internt skapa förebyggande åtgärder.

Specifikt kan det vara lämpligt att utveckla interna föreskrifter och följa dessa i driften. Men vilka specifika interna föreskrifter bör man fastställa? I denna artikel kommer vi att förklara hur man utvecklar interna föreskrifter för att minska risken för informationsläckor, riktat till företagets juridiska ansvariga.

Vad är interna regler gällande informationsläckage?

Informationsläckage kan inträffa när som helst, och det är omöjligt att förutsäga när eller hur det kommer att hända. Därför är det viktigt att skapa gedigna interna regler i förväg för att förbereda sig för informationsläckage.

Om, mot förmodan, en situation med informationsläckage skulle uppstå, kan skadan minimeras genom att följa de interna regler som fastställts i förväg och hantera situationen på ett lämpligt sätt.

Fastställande av grundläggande policy

Företagspolicy för informationsläckage: Fastställande av grundläggande policy

Först och främst kan det vara värt att överväga att fastställa en grundläggande policy för informationsläckage för att klargöra hur företaget ska hantera sådana händelser.

I den grundläggande policyn kan följande innehåll övervägas:

  • Innehåll relaterat till företagets och ledningens ansvar
  • Innehåll relaterat till efterlevnad av lagar och andra regler
  • Innehåll relaterat till uppbyggnaden av interna system
  • Innehåll relaterat till informationshantering
  • Innehåll relaterat till åtgärder gentemot anställda
  • Innehåll relaterat till hantering vid informationsläckage
  • Innehåll relaterat till regelbunden översyn av den grundläggande policyn

Förutom att vara en del av företagets interna regler, kan den grundläggande policyn också fungera som en sekretesspolicy, där företagets grundläggande principer offentliggörs. Genom att offentliggöra företagets grundläggande principer kan företaget visa sin höga medvetenhet om informationsläckage, vilket kan bidra till att förbättra företagets sociala förtroende.

Det är dock självklart att det inte räcker med att bara fastställa en grundläggande policy. Det är nödvändigt att fastställa en grundläggande policy som passar företagets faktiska situation, och det är viktigt att följa den fastställda grundläggande policyn i dess drift.

Relaterade artiklar: Vad är viktigt att tänka på när man skapar en sekretesspolicy med hänsyn till den japanska lagen om skydd av personuppgifter?[ja]

Bestämmelser om skydd av information

Det kan vara lämpligt att inkludera bestämmelser om skydd av information i företagets interna regler.

Exempel på innehåll som kan fastställas för skydd av information kan vara följande:

Riskanalys av informationsläckage

Om en riskanalys för informationsläckage inte utförs tillräckligt, kan det vara svårt att vidta lämpliga åtgärder baserat på risk. Därför är det viktigt att fastställa bestämmelser om riskanalys för informationsläckage i företagets interna regler.

Förståelse och databasering av information som företaget innehar

Om företaget inte har en god förståelse för den information det innehar, kan det vara svårt att hantera den på ett tillfredsställande sätt. Genom att databasera informationen som företaget innehar kan informationen hanteras på ett lämpligt sätt.

Fastställande av informationshanterare

Genom att fastställa vem som ska hantera den information som företaget innehar i de interna reglerna, kan omfattningen av informationens användning minimeras och risken för informationsläckage kan minskas.

Fastställande av förfaranden för offentliggörande och tillhandahållande av information

Genom att tydligt fastställa förfaranden och liknande för offentliggörande och tillhandahållande av information som företaget innehar i de interna reglerna, kommer förfarandena att följas. Detta kan förhindra situationer där anställda använder företagets information enbart baserat på deras eget omdöme, vilket i sin tur kan bidra till att förhindra informationsläckage.

Begränsning av uttag av information till externa parter

Genom att fastställa bestämmelser om uttag av information till externa parter i de interna reglerna, kan onödigt uttag av information till externa parter förhindras, vilket kan bidra till att förhindra informationsläckage.

Fastställande av revisioner av informationsskyddssystemet

Även om företaget har etablerat ett informationsskyddssystem, är det meningslöst om systemet inte följs.

Därför kan det vara lämpligt att fastställa i de interna reglerna att en oberoende enhet ska genomföra revisioner av informationsskyddssystemet.

Bestämmelser om personalhantering

Företagspolicy för informationsläckage: Bestämmelser om personalhantering

Informationsläckage kan uppstå på grund av misstag (mänskliga fel) av de personer som hanterar informationen. Därför kan det vara lämpligt att inkludera bestämmelser om personal som hanterar information i företagspolicyn.

Dessa bestämmelser om personalhantering kan också inkluderas i arbetsregler och sekretesspolicyer.

Till exempel kan följande punkter övervägas:

Sekretessplikt för information

I företagspolicyn kan det vara lämpligt att fastställa bestämmelser om sekretessplikt för information för anställda. Genom att fastställa en sekretessplikt kan anställda åläggas att hålla information hemlig som en del av deras kontraktsförpliktelser.

Det kan också förväntas att detta kommer att öka medvetenheten om sekretessplikten bland anställda.

Förbud mot användning av information för andra ändamål

Sekretessplikten för information innebär i första hand att information inte får läcka ut. Men utöver detta kan det vara effektivt att förbjuda användning av information för andra ändamål för att förhindra informationsläckage.

Sekretessavtal vid anställning

Det kan vara lämpligt att kräva att anställda lämnar in ett sekretessavtal som inkluderar sekretessplikt och förbud mot användning av information för andra ändamål vid anställning.

Ett sekretessavtal vid anställning har inte bara syftet att ålägga anställda kontraktsansvar, utan också att öka medvetenheten om att förhindra informationsläckage.

Sekretessavtal vid avgång

För anställda är det inte bara viktigt att förhindra informationsläckage under anställningen, utan också efter att de har lämnat företaget.

Därför kan det vara lämpligt att kräva att anställda lämnar in ett sekretessavtal vid avgång, där de lovar att inte läcka information de fick reda på under anställningen även efter att de har lämnat företaget. Detta beror på att företagspolicyn i princip endast har effekt på anställda och inte efter att de har lämnat företaget.

Utbildning för anställda om informationsläckage

Genom att få anställda att lämna in ett sekretessavtal kan man i viss mån öka medvetenheten om informationsläckage. Men ett sekretessavtal i sig är inte nödvändigtvis tillräckligt för att få anställda att förstå allvaret i att orsaka informationsläckage.

Därför kan det vara användbart att inkludera i företagspolicyn att regelbunden intern utbildning ska ges för att utbilda anställda om hur man förhindrar informationsläckage.

Bestämmelser om fysisk hantering

Företagspolicy för informationsläckage: Bestämmelser om fysisk hantering

För att förhindra informationsläckage är det nödvändigt att skapa en miljö där information fysiskt är svår att läcka.

Till exempel, i företagspolicyn kan följande innehåll övervägas för att reglera hanteringen av information.

Kontroll av tillträde till rum där information lagras

Genom att tydligt definiera säkerhetsområdena i företaget enligt den information som hanteras, och genom att hantera tillträde och låsning av varje område, kan man minska den fysiska tillgången till information.

Genom att minska den fysiska tillgången till information kan man förvänta sig att risken för informationsläckage minskar.

Åtkomst till servern

Om information lagras på en server eller liknande, kan det övervägas att begränsa åtkomsträttigheterna till servern i företagspolicyn.

Om alla anställda lätt kan få tillgång till informationen, ökar risken för informationsläckage i motsvarande grad. Därför kan det sägas att det är effektivt att begränsa åtkomsten till servern där informationen lagras för att förhindra informationsläckage.

Hantering av dokument och andra medier

Det är också viktigt att i företagspolicyn konkret fastställa hur informationen ska hanteras och lagras när den faktiskt hanteras.

Till exempel, om informationen finns på papper, kan det övervägas att förvara den i ett låsbart skåp, eller att inrätta ett rum för att läsa informationen och bestämma att den inte kan tas ut till andra rum.

Regler för användning av IT-utrustning

Nuförtiden har möjligheterna att utbyta information med hjälp av IT-utrustning ökat på grund av utvecklingen av internet och ökningen av distansarbete.

Därför kan det vara lämpligt att fastställa följande innehåll i företagets interna regler angående användning av IT-utrustning.

Procedurer vid lån av IT-utrustning från företaget

Först och främst, när du lånar IT-utrustning som datorer från företaget, är det viktigt att hålla reda på vem som lånade utrustningen och när.

Det är också viktigt att regelbundet kontrollera användningen för att säkerställa att de som har lånat IT-utrustning från företaget inte använder utrustningen i en miljö där information lätt kan läcka ut.

Procedurer för användning av personliga enheter (BYOD)

Med ökningen av hemarbete har det blivit vanligare att anställda använder sina personliga IT-enheter för arbete. I fall där PC:er eller USB-minnen är anställdas personliga egendom, kan det finnas en risk att tillräckliga säkerhetsåtgärder inte har vidtagits.

Även om det är en IT-enhet som de normalt använder, kan anställda ha en svag känsla av kris när de hanterar arbetsrelaterad information, vilket kan leda till otillräcklig hantering.

Därför kan det vara lämpligt att fastställa procedurer och förbud för användning av personliga enheter (BYOD) i företagets interna regler, om företaget tillåter anställda att använda personliga enheter (BYOD).

Bestämmelser om annan informationsläckage

Utöver detta kan följande saker övervägas att fastställas i företagets interna regler om informationsläckage.

Bestämmelser om personlig användning av sociala medier

Det finns sociala medier som används med riktiga namn och de som används anonymt. I det anonyma fallet kan det finnas en möjlighet att lätt göra inlägg på sociala medier på grund av anonymiteten. Dessutom kan det finnas fall där du gör ett inlägg med en lätt känsla att det inte kommer att bli sett av så många människor, och om det blir viral, kommer det att bli sett av många människor.

Sociala medier har en spridningskraft, så om det uppstår ett informationsläckage kan det spridas snabbt.

Därför kan det övervägas att fastställa innehållet i anställdas användning av sociala medier i företagets interna regler.

Till exempel kan du dela upp syftet med att använda sociala medier i “affärsändamål” och “icke-affärsändamål (privat)”, och i affärsändamål kan du kräva ansökan/godkännande och rapportering vid viral spridning. Även för icke-affärsändamål kan det övervägas att förbjuda att skriva företagets konfidentiella information och saker som bryter mot lagen, och att kräva rapportering om det finns en möjlighet till informationsläckage eller om det blir viral.

Informationsläckageåtgärder tas gemensamt av hela gruppföretaget

Om det är ett stort företag kan det finnas flera gruppföretag. Det kan finnas en möjlighet att konfidentiell information utbyts mellan gruppföretagen, men det är inte nödvändigtvis så att hela gruppen har samma säkerhetsnivå.

Därför kan det finnas de som tänker göra obehörig åtkomst till ett dotterbolag som har svagare säkerhet än moderbolaget och olagligt erhålla information.

För att hantera en sådan situation är det viktigt att gruppföretagen inte tar åtgärder mot informationsläckage separat, utan att gruppföretagen tar åtgärder mot informationsläckage tillsammans.

Sammanfattning: Konsultera en advokat angående interna regler för informationsläckage

Vi har förklarat för företagets juridiska ansvariga om hur man utvecklar interna regler för att minska risken för informationsläckage. För att förhindra informationsläckage är det viktigt att genomföra åtgärder från olika vinklar.

Det är nödvändigt att noggrant överväga dessa åtgärder med hjälp av en professionell synvinkel när det gäller interna regler. Vi rekommenderar att du konsulterar en advokat med expertkunskaper när du utvecklar interna regler.

Relaterad artikel: Risken för läckage av personuppgifter i företag och skadestånd[ja]

Information om åtgärder från vår byrå

Monolis juridiska byrå är en advokatbyrå med hög expertis inom IT, särskilt internet och lag. Professionell kunskap är avgörande när man utformar interna regler. På vår byrå hanterar vi granskningar av olika ärenden, från företag noterade på Tokyo-börsen (japanska: 東証) till uppstartsföretag. Om du har problem med interna regler, vänligen se artikeln nedan.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Tillbaka till toppen