保護個資的安全控制措施

有些人認為，公司內部和個人有關的資料，大多存放在人事和財務部門，因此應該要由這些部門來率先實施推動；人事和財務部門則認為，個人資料都存放在公司的檔案伺服器和資料庫中，負責維護管理的是資訊部門，而且個資保護又和資訊安全有關，所以理應由資訊部門來主導；資訊部門則摸著頭殼說，可是這些個人資料都不是由我們來蒐集和利用，充其量只是透過資訊系統來處理儲存而已，應該是由蒐集個資的業務和利用個資的行銷部門來運作才對，怎麼會是我？

探究大家不願意主導或負責的原因，主要還是來自於面對這項新的議題，心裡卻不太清楚究竟該從何做起，如果真的被老闆賦予任務而接手了，與其將燙手山芋攬在自己身上，倒不如一開始就放手把它交給別人來應對就好。

事實上，許多企業在資安方面都已經有所要求，有些甚至都已取得了ISO 27001的資安管理標準認證，如果藉由資訊安全的角度來出發，一樣採取企業風險管理的方式來因應，在個資保護與隱私維護方面，它就會是很好的第一步了。

參考個資保護相關標準

對於個人資料的安全保護，如果還是不了解要如何實施，最簡單的方式就是參考其他也有個資法律國家的相關經驗，或是參考受到國際認可的實務準則和標準。舉例來說，在先前的文章曾經提過的OECD八項隱私保護原則、APEC的九項隱私保護綱領，以及美國的安全港架構協定，就是可用的參考依據。

至於在國際認可的個資保護標準方面，由英國標準協會所提出的BS 10012個人資訊管理標準，也是目前在個資管理方面一項很好的參考來源，它採用了常見的PDCA（Plan, Do, Check, Act）管理流程，可將企業對於個資保護的期許和法律要求作為基礎，進而建立一項個資保護的管理計畫（Plan），然後根據這項計畫在企業中實施運作（Do），接著藉由運作過程中所產出的相關文件記錄，透過管理審查和稽核方式進行監督（Check），再依照稽核的結果要求進行改善行動（Act），以確保個資管理制度實施的有效性。

除了英國的BS 10012標準之外，目前由經濟部委託資策會所研擬，針對電子商務業者的「台灣個人資料保護與管理制度」（TPIPAS），也可作為企業在實施個人資料保護措施的參考。

TPIPAS制度的運作分為三個階段，它先從制度的規劃開始來確立個資保護的要求，然後透過教育訓練的方式來培育所需的建置和稽核人員；接下來則是透過受過訓練的內部人員來自行建置，或是藉由外部輔導顧問的協助，將個資保護與管理制度導入企業之中；最後再由合格的稽核人員進行實地審查，確認制度實施的有效性之後，再向主管單位申請發放合格的隱私標章，以此作為企業落實個資保護的一項證明。

進行個資盤點是第一步

如果企業有心要保護個人資料，就必須要了解目前到底持有多少的個人資料、由哪些部門來進行蒐集、採取什麼方式來處理、存放在什麼地點，以及如何地利用這些個人資料。一般而言，需要先釐清資料的蒐集方式（自動化或人工），以作為進行個資盤點的基礎，然後再藉由實際的業務流程來追蹤資料的產生過程，接著再清查並掌握部門所持有的個人資料清單，資料清單上面請務必清楚記錄以下幾個重點。

• 1· 資料的內容：記錄資料的名稱，並且描述是屬於何種業務流程而產生。
• 2· 資料存在形式：通常資料的形式可簡單區分為紙本和電子檔案兩種。
• 3· 資料儲存位置：若是紙本文件，記錄其儲存的地點位於哪一樓層與檔案櫃編號；若是電子檔案，則註明其儲存的應用系統、伺服器或資料庫，也可以視情況加入存放的儲存媒體，例如光碟、磁帶、磁卡等。
• 4· 蒐集目的：說明蒐集的目的為何，這部分可參照由法務部所公布的個資蒐集目的和類別。
• 5· 蒐集單位：記錄個資是由哪個部門或人員所蒐集的。
• 6· 處理單位：記錄個資是由哪個部門或人員進行編輯和建檔。
• 7· 利用單位：記錄個資是由哪個部門來使用，包括可能利用的其他第三方單位。
• 8· 資料保護措施：說明針對此項個資的保護作法，例如加密、上鎖、權限控管等。

依據個人資料保護法的定義，只要能夠以直接或間接方式識別到特定個人的資料，就屬於應該要妥善加以保護的個人資料。換句話說，個人資料除了常見的姓名、電話、地址、身分證字號之外，可能涵蓋的內容會有百百種，因此到底有哪些資料應該要優先進行控管，就是一個必須要釐清的問題。

從風險管理的角度來看，對企業最有價值的資料，就是萬一不小心遺失、損毀或外洩時，會對企業造成最多損失且影響最大的資料，這也就是首先要保護的對象，但是損失多寡和影響程度到底要如何來判定呢？