Giải thích các biện pháp ngăn chặn rò rỉ thông tin - Nội dung của quy định nội bộ cần được xây dựng là gì?

Rò rỉ thông tin có thể gây ra thiệt hại chết người cho hoạt động doanh nghiệp. Vì vậy, việc quan trọng là phải xây dựng các biện pháp phòng ngừa từ bên trong.

Cụ thể, bạn có thể xem xét việc xây dựng quy định nội bộ và thực hiện theo đó. Vậy cụ thể nên xây dựng quy định nội bộ như thế nào? Trong bài viết này, chúng tôi sẽ giải thích về việc xây dựng quy định nội bộ để giảm rủi ro rò rỉ thông tin, dành cho những người phụ trách pháp lý trong doanh nghiệp.

Quy định nội bộ về việc rò rỉ thông tin là gì

Rò rỉ thông tin có thể xảy ra bất cứ lúc nào, ở bất cứ thời điểm nào mà chúng ta không thể biết trước. Do đó, việc tạo ra quy định nội bộ chắc chắn trước khi xảy ra rò rỉ thông tin là rất quan trọng.

Ngoài ra, trong trường hợp xấu nhất, nếu tình huống rò rỉ thông tin xảy ra, việc tuân theo quy định nội bộ đã được xác định trước sẽ giúp xử lý tình huống một cách phù hợp, từ đó giảm thiểu thiệt hại do rò rỉ thông tin xuống mức thấp nhất có thể.

Xác định chính sách cơ bản

Đầu tiên, doanh nghiệp cần xác định chính sách cơ bản về việc xử lý rò rỉ thông tin để rõ ràng về phương châm hoạt động của mình.

Trong chính sách cơ bản, có thể xem xét việc quy định các nội dung như sau:

• Nội dung liên quan đến trách nhiệm của doanh nghiệp và người quản lý
• Nội dung liên quan đến việc tuân thủ các quy định pháp luật
• Nội dung liên quan đến việc xây dựng cơ cấu nội bộ
• Nội dung liên quan đến quản lý thông tin
• Nội dung liên quan đến các biện pháp dành cho nhân viên
• Nội dung liên quan đến việc xử lý khi xảy ra rò rỉ thông tin
• Nội dung liên quan đến việc xem xét lại chính sách cơ bản một cách định kỳ

Về chính sách cơ bản, ngoài việc là quy định nội bộ, cũng có thể xem xét việc vận hành theo hình thức công bố chính sách cơ bản ra bên ngoài như chính sách bảo mật. Việc công bố chính sách cơ bản ra bên ngoài có thể thể hiện sự nhận thức cao của công ty đối với rò rỉ thông tin, và có thể góp phần nâng cao uy tín xã hội.

Tuy nhiên, rõ ràng là việc chỉ đặt ra chính sách cơ bản không có nghĩa lý gì. Cần phải xác định chính sách cơ bản phù hợp với thực tế của công ty, và việc vận hành theo chính sách cơ bản đã đặt ra là điều quan trọng.

Bài viết liên quan: Điểm cần lưu ý khi tạo chính sách bảo mật dựa trên Luật bảo vệ thông tin cá nhân Nhật Bản?[ja]

Quy định về bảo vệ thông tin

Nội dung của quy định nội bộ có thể xem xét việc đưa ra các quy định liên quan đến bảo vệ thông tin.

Về nội dung liên quan đến bảo vệ thông tin, chẳng hạn, có thể xem xét việc thiết lập các nội dung như sau.

Phân tích rủi ro rò rỉ thông tin

Nếu không phân tích đầy đủ rủi ro rò rỉ thông tin, bạn sẽ không thể thực hiện các biện pháp phù hợp với rủi ro. Do đó, việc quy định nội dung liên quan đến phân tích rủi ro rò rỉ thông tin trong quy định nội bộ là rất quan trọng.

Nắm bắt và cơ sở dữ liệu hóa thông tin mà công ty sở hữu

Nếu công ty không nắm bắt chính xác thông tin mà mình sở hữu, việc quản lý sẽ trở nên khó khăn. Hơn nữa, việc cơ sở dữ liệu hóa thông tin mà công ty sở hữu sẽ cho phép quản lý thông tin một cách phù hợp.

Xác định người xử lý thông tin

Trong quy định nội bộ, việc xác định người xử lý thông tin mà công ty sở hữu sẽ giúp giới hạn phạm vi sử dụng thông tin tối thiểu, giảm rủi ro rò rỉ thông tin.

Xác định quy trình tiết lộ và cung cấp thông tin

Trong quy định nội bộ, việc xác định rõ ràng nội dung liên quan đến quy trình tiết lộ và cung cấp thông tin mà công ty sở hữu sẽ đảm bảo việc vận hành tuân theo quy trình. Do đó, có thể tránh được tình huống như việc nhân viên sử dụng thông tin của công ty chỉ dựa vào quyết định của mình, dẫn đến việc ngăn chặn rò rỉ thông tin.

Hạn chế việc mang thông tin ra ngoài

Trong quy định nội bộ, việc xác định nội dung liên quan đến việc mang thông tin mà công ty sở hữu ra ngoài sẽ giúp ngăn chặn tình huống thông tin bị mang ra ngoài không cần thiết, có thể mong đợi một hiệu quả nhất định trong việc ngăn chặn rò rỉ thông tin.

Xác định về việc kiểm toán hệ thống bảo vệ thông tin

Ngay cả khi công ty đã xây dựng hệ thống bảo vệ thông tin, nếu không vận hành theo hệ thống bảo vệ thông tin đó thì không có ý nghĩa.

Do đó, trong quy định nội bộ, có thể xem xét việc quy định rằng một thực thể độc lập với đối tượng kiểm toán sẽ tiến hành kiểm toán hệ thống bảo vệ thông tin.

Quy định về quản lý nhân sự

Rò rỉ thông tin có thể xảy ra do lỗi của người xử lý thông tin (lỗi con người). Do đó, trong quy định nội bộ, có thể xem xét việc đưa ra quy định về người xử lý thông tin.

Ngoài ra, về những quy định liên quan đến quản lý nhân sự này, cũng có thể xem xét việc đưa ra nội dung quy định trong quy tắc lao động hoặc quy định quản lý thông tin bí mật.

Ví dụ, có thể xem xét việc đưa ra những nội dung quy định như sau:

Nghĩa vụ bảo mật thông tin

Trong quy định nội bộ, có thể xem xét việc đưa ra nội dung liên quan đến nghĩa vụ bảo mật thông tin đối với nhân viên. Bằng cách đưa ra nghĩa vụ bảo mật thông tin, có thể gánh nghĩa vụ bảo mật thông tin lên nhân viên dưới dạng nghĩa vụ hợp đồng.

Ngoài ra, cũng có thể kỳ vọng vào việc tạo ý thức về nghĩa vụ bảo mật thông tin đối với nhân viên.

Cấm sử dụng thông tin ngoài mục đích

Về nghĩa vụ bảo mật thông tin, nội dung chính là không để rò rỉ thông tin. Tuy nhiên, ngoài ra, việc đưa ra nội dung cấm sử dụng thông tin ngoài mục đích cũng có thể coi là hiệu quả trong việc ngăn chặn rò rỉ thông tin.

Biểu mẫu cam kết bảo mật thông tin khi nhập học

Đối với nhân viên, có thể xem xét việc đưa ra phương pháp yêu cầu nộp biểu mẫu cam kết bảo mật thông tin bao gồm nghĩa vụ bảo mật và cấm sử dụng thông tin ngoài mục đích khi nhập học.

Về biểu mẫu cam kết khi nhập học, ngoài việc gánh trách nhiệm hợp đồng, cũng có ý nghĩa tạo ý thức về việc ngăn chặn rò rỉ thông tin đối với nhân viên.

Biểu mẫu cam kết bảo mật thông tin khi nghỉ việc

Đối với nhân viên, không chỉ cần ngăn chặn rò rỉ thông tin trong thời gian làm việc, mà còn cần ngăn chặn rò rỉ thông tin sau khi nghỉ việc.

Do đó, có thể xem xét việc yêu cầu nộp biểu mẫu cam kết không rò rỉ thông tin mà họ biết được trong thời gian làm việc sau khi nghỉ việc. Điều này là do quy định nội bộ chỉ có hiệu lực đối với nhân viên, và không có hiệu lực sau khi nghỉ việc.

Giáo dục nhân viên về rò rỉ thông tin

Thông qua việc nhận biểu mẫu cam kết từ nhân viên, có thể tạo ý thức về rò rỉ thông tin đến một mức độ nào đó, nhưng chỉ với biểu mẫu cam kết, không thể nói là đủ để làm cho nhân viên nhận thức được tầm quan trọng của việc gây ra rò rỉ thông tin.

Do đó, việc đưa ra quy định trong quy định nội bộ về việc tiến hành đào tạo nội bộ định kỳ, và giáo dục nhân viên về việc ngăn chặn rò rỉ thông tin cũng là hữu ích.

Quy định về quản lý vật lý

Để ngăn chặn rò rỉ thông tin, cần xây dựng một môi trường khó để thông tin rò rỉ một cách vật lý.

Ví dụ, trong quy định nội bộ, có thể xem xét việc đưa ra các nội dung sau đây liên quan đến quản lý thông tin:

Quản lý vào ra phòng lưu trữ thông tin

Định rõ các khu vực bảo mật tương ứng với thông tin được xử lý trong công ty, và thực hiện quản lý như kiểm soát vào ra và khóa các khu vực này, có thể giảm tiếp cận vật lý với thông tin.

Việc giảm tiếp cận vật lý với thông tin có thể giảm rủi ro rò rỉ thông tin.

Truy cập vào máy chủ

Nếu thông tin được lưu trữ trên máy chủ hoặc tương tự, trong quy định nội bộ, có thể xem xét việc hạn chế quyền truy cập vào máy chủ.

Nếu mọi nhân viên đều có thể dễ dàng truy cập vào thông tin, rủi ro rò rỉ thông tin sẽ tăng lên. Do đó, việc hạn chế truy cập vào máy chủ lưu trữ thông tin có thể hiệu quả trong việc ngăn chặn rò rỉ thông tin.

Xử lý tài liệu và các phương tiện khác

Trong quy định nội bộ, việc xác định cụ thể nội dung liên quan đến việc xử lý và lưu trữ thông tin khi thực sự xử lý thông tin cũng rất quan trọng.

Ví dụ, nếu thông tin là trên hình thức giấy, có thể xem xét việc lưu trữ trong tủ có khóa, hoặc đặt ra quy định không cho mang ra khỏi phòng dành cho việc xem xét thông tin.

Quy định về việc sử dụng thiết bị IT

Gần đây, do sự phát triển của Internet và sự tăng lên của việc làm việc từ xa, cơ hội trao đổi thông tin thông qua thiết bị IT ngày càng nhiều.

Do đó, trong quy định nội bộ, có thể xem xét việc quy định nội dung như sau về việc sử dụng thiết bị IT.

Thủ tục khi nhận thiết bị IT cho mượn từ công ty

Đầu tiên, khi nhận thiết bị IT như máy tính từ công ty, việc quản lý ai và khi nào nhận thiết bị cho mượn trở nên quan trọng.

Ngoài ra, người nhận thiết bị IT cho mượn từ công ty cũng cần hiểu rõ tình hình sử dụng sau một khoảng thời gian nhất định để xác nhận xem họ có sử dụng thiết bị IT trong môi trường dễ rò rỉ thông tin hay không.

Thủ tục sử dụng thiết bị cá nhân (BYOD)

Do việc làm việc tại nhà tăng lên, trường hợp sử dụng thiết bị IT cá nhân của nhân viên cho công việc cũng ngày càng nhiều. Trong trường hợp máy tính hoặc USB là đồ cá nhân của nhân viên, có thể không có biện pháp bảo mật đầy đủ.

Ngoài ra, vì đây là thiết bị IT thường sử dụng, nhân viên có thể mất cảm giác nguy hiểm khi xử lý thông tin liên quan đến công việc, dẫn đến việc quản lý không đầy đủ.

Do đó, trong quy định nội bộ, công ty có thể xem xét việc quy định thủ tục và điều cấm đối với việc sử dụng thiết bị cá nhân (BYOD) khi công ty cho phép nhân viên sử dụng thiết bị cá nhân (BYOD).

Quy định về việc rò rỉ thông tin khác

Ngoài ra, trong quy định nội bộ về việc rò rỉ thông tin, có thể xem xét việc quy định những điều sau đây.

Quy định về việc sử dụng cá nhân SNS

SNS có những loại sử dụng với tên thật và sử dụng ẩn danh, nhưng trong trường hợp sử dụng ẩn danh, có thể xem xét khả năng đăng bài lên SNS một cách dễ dàng vì là ẩn danh. Ngoài ra, có những trường hợp đăng bài với tâm trạng nhẹ nhàng rằng không có nhiều người sẽ nhìn thấy, và nếu nó bị cháy, nó có thể trở thành trường hợp mà nhiều người nhìn thấy.

Vì SNS có khả năng lan truyền, nếu xảy ra rò rỉ thông tin, có nguy cơ sẽ lan truyền trong nháy mắt.

Vì vậy, trong quy định nội bộ, cũng có thể xem xét việc quy định nội dung liên quan đến việc sử dụng SNS của nhân viên.

Ví dụ, có thể chia mục đích sử dụng SNS thành “mục đích công việc” và “ngoài mục đích công việc (cá nhân)”, và trong trường hợp mục đích công việc, có thể yêu cầu đăng ký, phê duyệt và báo cáo khi bị cháy. Ngay cả khi mục đích ngoài công việc, có thể cấm việc viết thông tin mật của công ty và vi phạm pháp luật, và nếu có khả năng rò rỉ thông tin hoặc bị cháy, có thể yêu cầu báo cáo.

Biện pháp chống rò rỉ thông tin được thực hiện bởi toàn bộ công ty nhóm

Nếu là một công ty lớn, có thể có nhiều công ty nhóm. Có khả năng trao đổi thông tin mật giữa các công ty nhóm, nhưng không nhất thiết tất cả các công ty nhóm đều có mức độ bảo mật giống nhau.

Vì vậy, ví dụ, có những người nghĩ đến việc tiếp cận trái phép và lấy thông tin một cách trái phép từ công ty con có bảo mật yếu hơn công ty mẹ.

Để đối phó với tình hình như vậy, không phải là các công ty nhóm thực hiện các biện pháp chống rò rỉ thông tin một cách riêng lẻ, mà cũng quan trọng khi các công ty nhóm cùng nhau thực hiện các biện pháp chống rò rỉ thông tin.

Tóm tắt: Hãy thảo luận với luật sư về quy định nội bộ liên quan đến rò rỉ thông tin

Chúng tôi đã giải thích về việc xây dựng quy định nội bộ để giảm rủi ro rò rỉ thông tin, dành cho những người phụ trách pháp lý của doanh nghiệp. Để ngăn chặn rò rỉ thông tin, quan trọng là phải thực hiện các biện pháp từ nhiều góc độ.

Đối với quy định nội bộ liên quan đến các biện pháp như vậy, cần phải thảo luận cẩn thận với sự tham gia của quan điểm chuyên môn. Chúng tôi khuyến nghị bạn nên thảo luận với luật sư có kiến thức chuyên môn khi xây dựng quy định nội bộ.

Bài viết liên quan: Rủi ro bồi thường thiệt hại do rò rỉ thông tin cá nhân của doanh nghiệp[ja]

Giới thiệu về các biện pháp của văn phòng luật sư của chúng tôi

Văn phòng luật sư Monolis, chuyên về IT, đặc biệt là Internet và luật, là một văn phòng luật sư có chuyên môn cao về cả hai mặt. Khi xây dựng các quy định nội bộ, kiến thức chuyên môn là điều không thể thiếu. Tại văn phòng luật sư của chúng tôi, chúng tôi đã tiến hành xem xét các vụ việc từ các công ty niêm yết trên Sở Giao dịch Chứng khoán Tokyo đến các công ty khởi nghiệp. Nếu bạn gặp khó khăn với các quy định nội bộ, vui lòng tham khảo bài viết dưới đây.

https://monolith.law/contractcreation[ja]