解釋防止資訊洩露的措施:應建立的公司內部規定內容為何
資訊洩露可能對企業活動造成致命的損害。因此,內部制定防止措施是非常重要的。
具體來說,可以考慮制定公司內部規定並按照規定進行操作。那麼,本所應該制定什麼樣的內部規定呢?本文將針對企業的法務負責人,說明如何制定內部規定以減少資訊洩露的風險。
何謂關於資訊洩露的內部規定
資訊洩露可能在任何時候、任何情況下發生,本所無法預知。因此,事先建立嚴謹的內部規定,以備資訊洩露之需,是非常重要的。
另外,即使萬一發生了資訊洩露的情況,也可以根據事先訂定的內部規定進行適當的應對,從而將因資訊洩露造成的損害降至最低。
制定基本政策
首先,作為企業,本所需要明確本所將如何應對資訊洩露,因此,本所可以考慮制定關於資訊洩露的基本政策。
基本政策中可能包括以下內容:
- 關於企業和經營者的責任
- 關於遵守法律等的內容
- 關於建立公司內部機制的內容
- 關於資訊管理的內容
- 關於對員工的措施的內容
- 關於資訊洩露發生時的應對措施的內容
- 關於定期審查基本政策的內容
對於基本政策,除了作為公司規定的一部分,也可以考慮像隱私政策一樣,對外公開基本政策。通過對外公開基本政策,可以展示公司對資訊洩露的高度關注,進而提高社會信譽。
然而,顯然,僅僅制定基本政策是沒有意義的。需要根據公司的實際情況制定基本政策,並且,按照制定的基本政策進行操作是非常重要的。
相關文章:根據日本《個人資訊保護法》制定隱私政策的要點是什麼?[ja]
關於資訊保護的規定
作為公司內部規定的內容,本所可以考慮制定關於資訊保護的規定。
關於資訊保護的內容,例如,本所可以考慮設定以下的內容。
資訊洩露風險的分析
如果沒有充分進行資訊洩露的風險分析,本所將無法根據風險採取適當的對策。因此,作為資訊保護的內容,制定公司內部規定中關於資訊洩露風險分析的內容是非常重要的。
掌握並資料庫化公司持有的資訊
作為公司,如果本所沒有充分掌握公司持有的資訊,將難以進行充分的管理。此外,將公司持有的資訊資料庫化,可以使本所能夠適當地管理資訊。
確定資訊的處理者
在公司內部規定中,如果本所確定了處理公司持有資訊的人員,本所可以將資訊的使用範圍限制在最小,從而減少資訊洩露的風險。
確定資訊的披露和提供的程序
在公司內部規定中,如果本所確定了關於公司持有的資訊的披露和提供的程序等內容,則可以按照程序進行操作。因此,本所可以避免員工僅憑自己的判斷使用公司的資訊的情況,從而可以預防資訊洩露。
限制將資訊帶出至外部
在公司內部規定中,如果本所確定了關於將公司持有的資訊帶出至外部的內容,本所可以防止資訊被不必要地帶出至外部,從而可以預防資訊洩露。
確定關於資訊保護體系的審核
即使公司建立了資訊保護體系,如果沒有按照該資訊保護體系進行操作,那麼這個體系就沒有意義。
因此,在公司內部規定中,本所可以考慮規定由獨立於審核對象的主體進行關於資訊保護體系的審核。
關於人員管理的規定
資訊洩露可能由於處理資訊的人員出錯(人為錯誤)而發生。因此,在內部規定中,可以考慮規定與處理資訊的人員相關的內容。
關於這些人員管理的規定,可以考慮在就業規則或機密資訊管理規定中規定其內容。
例如,可以考慮規定以下的內容:
資訊的保密義務
在內部規定中,可以考慮針對員工規定資訊的保密義務。通過規定資訊的保密義務,可以使員工承擔契約上的保密義務。
此外,也可以期待對員工進行資訊保密義務的意識提升。
禁止資訊的非目的性使用
資訊的保密義務首要的內容是不洩露資訊。然而,除此之外,規定禁止非目的性使用資訊也可以有效防止資訊洩露。
入職時的保密承諾書
對於員工,可以規定在入職時提交包含保密義務和禁止非目的性使用資訊的保密承諾書。
入職時的承諾書不僅可以使員工承擔契約上的責任,也具有對員工進行防止資訊洩露意識提升的意義。
退職時的保密承諾書
對於員工,不僅要在在職期間防止資訊洩露,退職後也需要防止資訊洩露。
因此,可以考慮在退職時要求提交承諾不會洩露在職期間獲得的資訊的保密承諾書。這是因為內部規定原則上只對員工等有效,退職後則無效。
關於資訊洩露的員工教育
通過從員工那裡獲得承諾書,可以在一定程度上提高防止資訊洩露的意識,但僅靠承諾書可能無法讓員工充分認識到造成資訊洩露的嚴重性。
因此,可以考慮在內部規定中規定定期進行企業內部培訓等,對員工進行防止資訊洩露的教育。
關於物理管理的規定
為了防止資訊洩露,本所需要建立一個物理上難以洩露資訊的環境。
例如,在公司內部規定中,本所可以考慮制定以下關於資訊管理的內容。
資訊儲存室的進出管理
本所可以明確劃定根據公司內部處理的資訊的安全區域,並進行各區域的進出管理和鎖定等管理,以減少對資訊的物理接觸。
通過減少對資訊的物理接觸,本所可以期望降低資訊洩露的風險。
對伺服器的訪問
如果本所將資訊儲存在伺服器等地方,本所可以考慮在公司內部規定中限制訪問伺服器的權限。
如果所有員工都能輕易地訪問資訊,那麼資訊洩露的風險就會相應增加。因此,限制訪問儲存資訊的伺服器是防止資訊洩露的有效方法。
文件和其他媒介的處理
在公司內部規定中,具體規定實際處理資訊時的處理和儲存內容也是非常重要的。
例如,如果資訊是以紙張形式存在,本所可以考慮規定在可以鎖定的櫃子中儲存,並設立專門的閱覽室,規定不能將資訊帶出其他房間。
關於IT設備的使用規定
近年來,由於互聯網的發展和遠程工作的增加等原因,使用IT設備進行信息交流的機會正在增加。
因此,在公司內部規定中,可以考慮制定以下關於IT設備使用的內容。
接受公司IT設備租借的程序
首先,當從公司接受電腦等IT設備的租借時,管理誰何時接受租借等事項是非常重要的。
此外,為了確認接受公司IT設備租借的人是否在容易導致信息洩露的環境中使用IT設備,定期了解使用情況也是非常重要的。
私人設備(BYOD)的使用程序
由於在家工作的增加,員工使用私人IT設備進行工作的情況也在增加。如果PC或USB記憶體等是員工的私人物品,可能並未實施足夠的安全措施。
此外,由於是平時使用的IT設備,員工可能對處理工作相關信息的危機感減弱,管理可能不足。
因此,在公司內部規定中,如果公司允許員工使用私人設備(BYOD),可以考慮制定使用私人設備(BYOD)的程序和禁止事項。
其他資訊洩露相關規定
除此之外,關於資訊洩露的內部規定,本所可以考慮設定以下的事項。
關於SNS個人使用的規定
SNS有實名使用和匿名使用的情況,如果是匿名的情況,可能會因為匿名而輕易地在SNS上發布貼文。另外,有時候可能會因為覺得不會有太多人看到而輕率地發布貼文,如果這樣的貼文引發網路熱議,就可能會被大量的人看到。
由於SNS具有強大的傳播力,一旦發生資訊洩露,可能會在瞬間被廣泛傳播。
因此,在內部規定中,本所也可以考慮規定員工使用SNS的相關內容。
例如,本所可以將SNS的使用目的分為「業務目的」和「非業務目的(私人)」,對於業務目的的使用,本所可以規定需要申請、獲得批准,以及在引發網路熱議時需要報告等義務。即使是非業務目的的使用,本所也可以禁止寫入公司的機密資訊或違反法律的內容,並規定如果存在資訊洩露的可能性或引發網路熱議時需要報告。
資訊洩露對策需要由整個集團公司共同進行
如果是大型公司,可能會有多個集團公司。集團公司之間可能會有機密資訊的交換,但並不一定所有的集團公司都具有相同水準的安全性。
因此,例如,有人可能會考慮對安全性較弱的子公司進行不正當訪問,並試圖不正當地獲取資訊。
為了應對這種情況,不是讓集團公司各自進行資訊洩露的對策,而是讓集團公司整體進行資訊洩露的對策,這也是非常重要的。
總結:關於資訊洩露的內部規定,請諮詢律師
以上,本所針對企業的法務負責人,闡述了如何制定內部規定以減少資訊洩露的風險。為了防止資訊洩露,從各種角度廣泛實施對策是非常重要的。
對於這種對策的內部規定,需要結合專業視角進行謹慎的考慮。本所建議在制定內部規定時,請諮詢具有專業知識的律師。
本所事務所的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的法律事務所。在制定公司內部規程時,專業的知識是必不可少的。本所事務所已經為從東京證券交易所上市公司到初創企業,處理了各種案件的審查。如果您在公司內部規程方面有任何困擾,請參考以下文章。