2013年10月11日 星期五

統一企業行銷委外的個資管理關鍵

統一企業行銷委外的個資管理關鍵

對統一企業而言,管理內部員工個資不難,難的是要管理散落在委外行銷廠商手上的大大小小抽獎行銷活動的消費者個資

統一企業因應個資時間表
》2011/12/19 成立個資安全管理中心
》2012/4 導入資訊安全管理系統
》2012/9 導入個資管理系統
》2012/10/1 公布個資保護政策
》2013/1 發行個資管理月刊
》2013/3 取得ISO 27001和BS 10012認證

對臺灣食品業者統一企業而言,內部員工個資的管理不是最大的難題,更困難的是管理由各式的抽獎行銷活動蒐集到的消費者個資,才是更大的挑戰,因為行銷活動委外廠商若發生個資外洩情況,也都視同是統一企業的責任。為了管理這些委外個資,統一企業採取了幾項關鍵管理措施,包括限縮委外廠商數量,來降低委外管理風險,搭配定期稽核來確保委外廠商個資保護的水準。


為降低風險,限縮合作廠商與定期稽核 
統一企業總經理辦公室經理方木星表示,該公司內部員工個資保護的問題不大,反而是股東資料以及因為各種抽獎行銷活動的消費者資料,成為統一企業最大宗的個資。

方木星說:「因為個資法強化企業對於外洩個資應該承擔的責任,不因為委外而有所減少,所以對於委外的個資保護作為,應該等同公司內部的資料保護作為。」但他表示,由於多數證券公司受主管機關的嚴格要求,必須落實相關的個資保護作為,問題相對不大,比較需要注意的反而是因為各種行銷活動所取得的消費者個資。

統一企業平時有許多的抽獎和行銷活動,原本都是委託不同家的行銷公司負責,但是各家行銷公司規模大小落差很大,不見得有能力可以配合統一企業的要求,對於相關行銷活動的消費者個資,進行妥善的個資保護。

方木星指出,在委外單位視同委託機關(企業主)的前提下,為了確保相關消費者個資的安全性,統一企業最後決定,只選定兩間規模大小足以配合統一企業要求的行銷公司長期合作,該公司除了要求兩間行銷公司必須取得相關的資安與個資保護的認證外,也必須允許統一企業,可以對該行銷公司進行定期稽核,藉此了解與掌握行銷公司如何確保消費者個資保護,是否有落實統一企業對於行銷委外的個資保護管理要求。

先制定個資稽核工作底稿才能落實稽核 
統一企業除了落實行銷委外的個資保護與稽核措施之外,在個資保護管理制度的建立上,由該公司成立的「個資保護管理中心」負責「一階文件:政策」和「二階文件:程序書」的制定,「三階文件:管理辦法、作業說明書」則由使用者單位負責,涉及全公司的例如通訊錄資料,才由個資保護中心負責;「四階文件:表單記錄」因為各個單位應用情境不一樣,各單位自行負責制定,重點是要建立記錄表單。

要落實個資保護制度與措施,方木星認為,嚴謹的內評與稽核是非常重要的關鍵。但問題在於,內評稽核部門在每年年初,都已經排定整年度的稽核排程,加上稽核人力相對吃緊時,如何讓個資稽核可以落實,考驗個資管理中心與稽核部門。

為了克服既有稽核人力不足的問題,他說,個資保護小組先從企業內部,找出稽核出身但輪調到其他單位具有稽核能力的同仁進入該小組擔任內評委員,由內評委員擬定個資稽核的工作底稿。當個資稽核的工作底稿確定後,就可以由個資小組內評委員及稽核部門的內評稽核人員,按照個資稽核工作底稿完成第一次的個資稽核後,稽核小組成員就知道應該如何進行個資稽核。

此外,為了降低稽核小組的工作負擔,也由不同部門內找出具有個資稽核能力的成員,進行跨部門的個資稽核,因為都是執行單位,很容易找出落實個資保護時的缺口,不僅達到落實個資保護的效果,也可以降低稽核單位的工作負擔。

轉載自《iThome》