2012年11月5日 星期一

建立個資管理系統 持續改善方為上策

建立個資管理系統 持續改善方為上策

個人資料保護法從10月1日上路後,企業只要不小心洩漏了個人資料,最高求償金額可達新臺幣二億元,也因此讓許多企業開始檢視資料庫的個資保護及處理個資的流程,是否足夠完備,以免觸法,造成企業損失。

個資法施行細則第12條第2項明定,企業為保護個資得落實安全維護措施,必須要先界定個人資料的範圍。但許多企業如線上購物、銀行保險業等,個資數量數以百萬,用人工盤點,不但耗時耗力,而且一旦有所遺漏,造成個資外洩,企業管理者將難辭其咎。

個資範圍訂定不易 管理需有彈性

目前市面上已經有專門進行自動化資料庫盤點的個資清查工具,有些個資盤點軟體甚至宣稱,可在30分鐘內快速清查資料庫當中的個資,就連中文個資如姓名、地址,都能準確辨識無誤,除了可以協助使用者快速找出保護措施不足的資料庫外,還會產生個資清查報告,讓管理者可以迅速檢視盤點結果,研擬補救措施,提高個資保護的正確性及完整性。


個資法上路後,企業對於客戶個資的管理要更加用心。

但因為「範圍」的概念,其實相當抽象,雖然市面上已經有專門進行自動化資料庫盤點的個資清查工具,但企業選擇的解決方案,是否真有符合個資法的規定,就夠使人疑惑。再加上,不同型態的企業,運用及管理客戶資料的方式不同,企業如果沒有找到適合本身企業的最佳解決方案,想要落實個資保護,就會變得相當困難。

面對市場上千百種的個資法解決方案,企業可以參考相關認證標準,如以保護隱私權為宗旨的英國國際標準BS 10012,就相當受到企業重視,金融業的詢問度尤其高,而ISO 29100則因為是特別針對IT類個資安全維護有關的行為規範,也廣受重視,但由於ISO 29100缺乏個資蒐集/處理/利用程序,和營運面或紙本類個資安全的管理規範,所以比較適合IT服務業、資訊部門,或像是電子商務等,主要是透過網路蒐集個資,或是個資已經高度數位化的產業或部門使用。

但就個資範圍的定義而言,許多標準仍與台灣個資法有落差,如BS 10012的個資範圍包括種族、宗教、政黨、是否為身心障礙等,而台灣個資法的範圍還包括醫療、基因、性生活、健康檢查及犯罪前科,兩者不見得完全契合。

此外,個資法當中提及的軌跡資料保存、書面同意等方面,BS 10012也無法完全對應,企業不能以為導入BS 10012就可高枕無憂,必須進一步彈性調整,建立企業專屬的個資管理系統。

企業應設置專屬個資管理人員

企業若要建立專屬的個資管理系統,可以參考「計畫-執行-檢查-行動(Plan-Do-Check-Act),PDCA方法論」為基礎。首先,為了要妥善規劃個資保護的管理措施,企業應指定專責人員,清楚界定工作職掌與責任,賦予適當的權力,方能明確訂定應遵循之方向與規定。

其次則是要選派適當人員,負責個資管理系統之建置與維運。值得注意的是,由於個資管理相關事務涉及的範圍,不僅僅只有IT領域,舉凡法律、業務流程都可能包含在內,因此企業絕對不能認定個資管理維護只是IT部門的事務,自然也不能認定有IT人員來維護就夠了,。

因此,負責個資管理的主管,必須有能力影響企業所有的部門及人員,並針對不同部門的權責,訂定出真正可行的方向和目標,並經由適當且必要的程序如流程說明、獎懲規定等,確保企業所有部門都能一致而有效的使用個資管理系統,達到持續改善的效果。

更重要的是,由於個資法上路沒多久,個資範圍及管理方式難免莫衷一是,企業必須確保個資管理的過程中,保持內外溝通管道的順暢,並提供必要的資源,」包括教育訓練、IT軟硬體環境等,讓每位員工都能適時提出進一步的改善建議,或是可將客戶意見隨時反應到系統改良措施上,才能達到管理目標,進而遵循政策,以避免違反規定的後果。

定期檢查及持續改善才能落實

個資管理系統上路之初,短時間內不容易看到績效,而且因為限制頗多,許多部門績效甚至可能因此受到影響,如研討會舉辦單位,不能再隨意將個資名單提供給贊助單位,都可能讓許多受到影響的部門,為了維護績效,進而有意或無意間違反規定,進而破壞個資管理系統的目標。

因此,企業在執行個資管理時,不能只是注意規劃及執行面,更重要的是要定期檢核並持續改善,確保各個部門真正因應並落實個資法的相關要求,才能確保企業不會因為洩漏個資,而衍生更多的損壞。

轉載自《DIGITIMES中文網》