系統簡介
TPIPAS臺灣個人資料保護與管理制度
■TPIPAS系統簡介
緣經濟部商業司委託財團法人資訊工業策進會,執行「電子商務個人資料管理制度推動計畫」,規劃並推動「臺灣個人資料保護與管理制度(TPIPAS)」,並於2013年起擴大適用至所有行業別,亦適用於公務機關。
組織基於企業社會責任的理念,為因應個人資料保護法制化之新趨勢,避免消費者個人資料外洩可能引起的風險,進而影響組織永續經營之健全發展,科建顧問可協助 貴組織邁向「台灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System;TPIPAS)」查證之路。
建置「個人資料管理系統」除保障該公司保有之個人資料,避免個人資料被竊取、洩漏、竄改或其他侵害,並順利通過財團法人資訊工業策進會 科技法律研究所(以下簡稱「資策會科法所」)之TPIPAS管理系統審查,取得經濟部商業司「資料隱私保護標章(Data Privacy Protection Mark, DP.Mark)」為目標,奠定爾後該公司個人資料保護制度持續精進的基礎。
■系統架構
TPIPAS 系統建立以PDCA循環為架構,持續改善作為推行的步驟,以內部評審、管理績效量測及事業營運連結做為改善個人資料保護管理之系統化管理制度。
建置目標包括符合個資法施行細則第12條之「個人資料安全維護措施」,並評估公司所欲達成之個人資料保護目的間具有適當比例為原則,得包括下列事項,:
配置管理之人員及相當資源。
界定個人資料之範圍。
個人資料之風險評估及管理機制。
事故之預防、通報及應變機制。
個人資料蒐集、處理及利用之內部管理程序。
資料安全管理及人員管理。
認知宣導及教育訓練。
設備安全管理。
資料安全稽核機制。
使用紀錄、軌跡資料及證據保存。
個人資料安全維護之整體持續改善。
■組織為什麼需要TPIPAS?
(一) 防止未來組織遭受個資訴訟,無法提出管理制度,導致公司被罰款,最高罰兩億。
(二) 確保電子商務資訊及管理環境之可控性。
(三) 提高組織人員對於個資法律及管理上的風險認知。
(四) 確保個資得到合法的妥善保存與管理。
(五) 可取得個人資料隱私權保護標章,提高網路採購消費者的信心與商譽。
■為何選擇科建?
◆ 第一家TPIPAS合格登錄機構
◆ 具備輔導及通過驗證實務經驗,了解驗證要求及重點
◆ 具備26年顧問輔導經驗
◆ 同業中最早投入個資輔導之顧問公司
◆ 可整合ISO 9001、ISO 27001系統與個資相關系統
◆ 全職法務顧問輔導,並提供免費法規諮詢服務
◆ 合作之個資防護廠商
■預期效益
將 貴公司營運之各項業務流程,在TPIPAS標準要求下以PDCA方式進行個資流程展開,建立TPIPAS所需之「標準化流程」,促進各部門合理使用個人資料,藉以提昇公司電子商務環境的安全性。
◆ 可取得DP Mark,客戶有信心
◆ 符合國家個資法規要求,降低責任風險
◆ 明確的PDCA管理流程
◆ 結合管理、技術與法律的制度
◆ 未來與國際個人資料保護法接軌
◆ 人員對於個人資料管理與保護認知度相對提高
◆ 建立個人資料內評制度
◆ 整合資訊安全管理,達到個資全方位防護目標
科建輔導優勢
REPORT / 新聞稿
-
2014.03.25
恭賀 日翊文化行銷通過 個人資料保護管理法因應暨TPIPAS驗證
日翊文化行銷(股)為全家便利商店百分之百所投資的子公司,民國93年6月成立。成立初期主要以配送全家便利商店出版品、網路購物商品及影音光碟為主;直到民國96年積極擴大業務經銷通路及服務項目與範圍,以18小時全台配送服務來提升競爭力,另外成立24H客服中心、整合店會中心及盤點中心作為全家便利商店之後勤服務。
對後勤服務來說,保護顧客財產是必要的作業品質要求之一,與顧客隱私權相關的「個人資料」更是在「個人資料保護法」。日翊文化行銷股份有限公司基於企業理念、因應全國隱私權保護意識抬頭之趨勢,及個人資料保護法規「新版個資法元年」之要求,選定國內輔導個人資訊管理統及個人資料保護法經驗豐富之科建顧問為輔導顧問團隊,在科建顧問師群及日翊文化行銷相關主管及人員共同努力下,根據科建顧問提出個人資料管理診斷報告來建置日翊文化行銷股份有限公司之「個人資料管理系統」,並依據計畫TPIPAS管理制度實施及完成相關個資風險改善與處置工作展開,包含工作會議召開、種子人員訓練、各單位個人資料檔案清冊產出、個資風險評估報告書、及期末審查報告提交等過程順利通過財團法人資訊工業策進會 科技法律研究所之管理系統審查,取得經濟部商業司「資料隱私保護標章(Data Privacy Protection Mark, DP.Mark)」,為日翊文化行銷邁向個人資料保護與管理開啟好的開始。
ARTICLES / 文章分享
-
2014.04.01
建構臺灣個人資料保護與管理制度規範(TPIPAS):各個階段工作重點概述(上)
「臺灣個人資料保護與管理制度規範(Taiwan Personal Information Protection and Administration System, 以下簡稱TPIPAS)」,主要可提供一個架構讓組織從法律面、管理面與流程面對於個人資訊的管理,能維持和改善對個資法規及優良管理實務要求下,進行保障組織所持有之個人資訊。個資保護PDCA的流程,即是利用過程方法來建立、施行、運作、監控、審查、維護及改善組織的個人資訊管理系統。我們可以從個資法施行細則第十二條的安全維護措施中,解析出個資保護管理的PDCA系統概念,來討論在個資因應的各個階段,應該採行何種作為?
而以PDCA整體構面來看,組織於建構個人資料管理系統各階段工作要點如下:
一、「規劃」:
了解個人資料保護工作事項,組織應透過「規劃」活動將定義個人資訊管理制度的範圍、評估個人資料風險、鑑別法律及其他要求等等,以制定詳細的管理目標及標的,同時由組織最高階主管負責維護「個人資訊管理政策」,確保「個人資訊保護政策」承諾遵守國內個資法。
在TPIPAS的建置中,需由高階主管(管理代表)帶領組織,擴及至所有職員,所以高階主管的支持與具備較高的資訊安全意識,更重要的是透過「規劃」活動能強化同仁了解與工作相關的個人資料保護規範,及其職責,因此是必要施行的措施。
規劃TPIPAS,標準中要求組織應根據「一般要求事項」、 「個人資料保護管理政策」、「個人資料保護管理手冊」等來發展、實行、維持並持續改善個人資訊管理系統,透過「識別法令及其他相關規範」、「納入管理之個人資料範圍」、「風險管控措施」、「資源管理」及「權限與責任分工」活動,針對重要業務流程進行評估並識別所有個人資料檔案,一一確認業務流程中所有利害相關者,利用流程輸入/輸出中包括(1)客戶/使用者;(2)組織內部;(3)委外廠商;(4)供應者;(5)其他,以上種種表示業務資訊若在不同的個人資料檔案生命週期,例如:如何建立、傳送、儲存、封存及銷毀等現行之程序,可能有不同的管理者或需要建置之支援流程,例如:檔案管理系統或備份管理系統等,並依個資法中之一般個資與特種個資的分別,檢視組織內這些個人資訊蒐集之必要性。對應到個人資料保護法施行細則第十二條之「配置管理之專責人員及相當資源」、「界定個人資料之範圍」及「個人資料之風險評估及管理機制」安全維護措施。
二、「實行與運作」:
組織對於同仁能否具備資保護意識、在個人資料的處理上是否能遵循一定的程序,降低人員疏失造成資料外洩的情形、較敏感的個人資料在使用前進行核對工作、以及能否維護個人資料的完整性與正確性…等能力都相當重視。因此存在相關的管制措施「實行與運作」包括:「組織與第三方合作時,將能確保個人資料揭漏處於被管制的狀態。」、「組織將具體指明處理個人資料之目的,且不用於目的外用途。」,「組織的個人資訊管理制度將有銷毀過期(或是不在保存範圍內)之個人資訊。」、「組織將舉辦教育訓練與意識提升,確保所有員工都能夠按照適當程序處理個人資料。」、「組織將能確保個人資料受到公平合法的處理,且在開始處理前已清楚確認處理個人資料的法律基礎。」,以及「組織的個人資訊管理制度將能確保個人資料的完整性與正確性。」等等。
由於在TPIPAS「規劃」過程中,係藉由人員能力/訓練/認知、文件化的需要、組織權責、個資流程清查及檔案盤點、以及個資風險管理
等活動,明確定義組織之個人資料保護政策及改善目標/標的/方案等來規劃相關作業管制等各資安全維護措施,其中包含相關管理制度實施之適當程序:「維基本原則」、「當事人之相關權利」及「管理監督」等,管理包括維持個人資料之正確性、安全管理措施及事業人員之監督及委託蒐集/處理或利用個人資料之監督等議題,因此組織在「實行與運作」個人資訊管理系統中之個人資料安全維護相關措施,應不斷評估管理蒐集/處理/利用、管理當事人權力行使、管理適當安全維護措施、以及於蒐集前/利用前/資料傳輸前/資料庫開放前/出口管制前卡檢核制度及基礎設施的適切性,來維持和改善學校機關對於個人資料保護相關法律及優良制度的遵循,這除了確保各項程序及技術要素都受到維護(正確且適當運作),應完整地規劃並執行文件及紀錄管制,以確保「實行與運作」的有效性夠被評估並鑑別。
對應到個人資料保護法施行細則第十二條之「事故之預防、通報及應變機制」、「個人資料蒐集、處理及利用之內部管理程序」、「資料安全管理及人員管理」、「認知宣導及教育訓練」、及「設備安全管理」等等安全維護措施之要求。
-
2016.02.22
個人資料保護專欄(三)-臺灣個人資料保護與管理制度(TPIPAS)
發展歷史[1]:
隨著我國科技進步,使用網路人口不斷增加,資訊安全風險持續提升,對於個人隱私、業務機密、社會安全造成衝擊,有鑒於此,行政院於西元(以下同)2009年8月「塑造資安文化、推升資安產值」產業科技策略會議決議,由經濟部強化並宣導電子商務行業保護個人隱私、交易安全機制,經濟部並依此推動「電子商務個人資料管理制度推動計畫」。
2011年4月由經濟部商業司委由財團法人資訊工業策進會執行,推動我國之個人資料保護管理系統--臺灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System, TPIPAS)。
2013年將適用範圍擴大至所有組織(包含一般公司、政府單位等),並於2014年5月5日起受理組織部分特定範圍檢視申請。
簡介:臺灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System, TPIPAS):
臺灣個人資料保護與管理制度(TPIPAS),係針對台灣個資法量身訂做的管理系統,就組織蒐集、處理、利用及國際傳輸個人資料提供一個參考架構,使組織能依循此架構建置完整之個人資料保護管理制度。
因網路詐騙氾濫,2011年試施行時,先注重於推動電子商務行業個人資料安全,因此,早期通過驗證的多為數位科技、網路購物平台等保有大量客戶資料的組織。
2012年,隨著人們保護個人資料意識逐漸抬頭,臺灣個人資料保護與管理制度(TPIPAS)擴大驗證範圍推廣至所有行業。2014年5月5日並推出新的制度--特定範圍檢視,係指不以全組織為驗證範圍,得就部分組織單位申請抽查檢視是否符合臺灣個人資料保護與管理制度規範,但是檢視與驗證不同,通過後僅有檢視通過證明,並不代表驗證通過,亦不得申請「資料隱私保護標章(dp. mark)」。
未來,在經濟部商業司努力下,若是越來越多企業為了因應個資法而導入該規範,臺灣個人資料保護與管理制度(TPIPAS)有望能成為一項新的中華民國國家標準(CNS)。
組織建立管理制度後,臺灣個人資料保護與管理制度(TPIPAS)透過管理循環「計畫、執行、檢查及行動(Plan-Do-Check-Act)」能協助維護及改善組織的個人資料管理系統,以達到不斷提升個人資料保護與管理能力,並創造可信賴的隱私環境。[2]
[1]臺灣個人資料保護與管理制度-官方網站
[2]將於下篇專欄詳加介紹。
-
2016.03.25
個人資料保護專欄(四)-臺灣個人資料保護與管理制度(TPIPAS)
一、資料隱私保護標章(Data Privacy Protection Mark,dp.mark):
參考日本隱私權標章(Privacy Mark)規範,符合規範要求得經由驗證機構認可後頒發隱私權保護標章,以彰顯企業對於個人資料保護的重視,增加消費者的信賴感。
我國方面,組織得自行或尋找顧問公司協助導入臺灣個人資料保護與管理制度(TPIPAS),由合格之驗證機構驗證,若通過驗證,可以申請經濟部商業司頒發之證明標章「資料隱私保護標章(dp.mark)」,組織得於取得該標章後於官方網站或平面文宣上使用,證明組織重視且確實對於個人資料有所保護,提升組織正面形象。
二、導入效益:
1. 取得資料隱私保護標章(dp.mark),提高消費者的信心與公司商譽;
2. 符合國家個資法規要求,降低訴訟風險;
3. 明確的管理循環「計畫、執行、查核及處置(Plan-Do-Check-Act)」;
4. 結合管理、技術與法律的制度;
5. 確保個資得到合法妥善的保存與使用;
6. 人員對於個人資料管理與保護認知度相對提高;
7. 建立個人資料內部評鑑制度。
三、與其他管理制度的關係:
臺灣個人資料保護與管理制度(TPIPAS)的制定是希望提供企業個資管理系統建置時,就該如何符合我國現有個人資料保護相關法規有所依歸,因此,臺灣個人資料保護與管理制度(TPIPAS)規範合於我國本地法規,適合成為一項全國遵守的新中華民國國家標準(CNS)。
但是,合於我國本地法規亦代表著與國際流行的規範有所差異。
以「告知」為例子,在蒐集、處理或利用時相關管理系統皆認為應該讓當事人充分了解是什麼組織、什麼原因蒐集個人資料,而將來這些資料會被使用於何處及當事人能行使得權利…等,構成了應「告知事項」,不同管理系統因來源國家不同,對於「告知事項」之要求亦有不同。
顯然,國際間現在最被廣泛認可的個人資訊管理系統(BS 10012)標準要求(如上圖一4.7.1 個人資訊的收集與處理5、7、8點),比臺灣個人資料保護與管理制度(TPIPAS)及個資法要求更嚴謹,規定應公開給當事人知曉的資訊更多,這也是為什麼我國的金融、證券等跨國際性行業組織,在選擇個人資料保護管理系統建置時,更傾向於通過個人資訊管理系統(BS 10012)驗證,而非臺灣個人資料保護與管理制度(TPIPAS),因為同樣是驗證,國際間較多認可個人資訊管理系統(BS 10012)。
並非說臺灣個人資料保護與管理制度(TPIPAS)不好,而是相較國際規範,合於我國法規的標準,顯然更受到當地政府的重視與喜愛,所以組織在導入個人資料保護制度時,可以先考量是重視國外還是國內再決定導入之管理系統。
但不管如何,兩個資管理系統都是希望協助組織在個人資料保護有所提升,也許未來臺灣個人資料保護與管理制度(TPIPAS)改版後,能夠與國際系統規範接軌。
-
2018.01.02
個人資料保護專欄(二十五)-法規內容重點說明(三)
(1) 個人資料於組織流程之風險評鑑及因應對策:
為了評鑑出組織內所有流程中含有「個人資料檔案生命週期」之風險高低,並進而提出因應之改善對策,以消弭或降低組織於營運上之風險,而執行風險評鑑及因應對策應考量者為:
①. 法規、國家制定之規範要求或其他具有強制性之規範的建置及維護是為了不超過特定目的範圍:應有程序限制特定目的外之使用;
②. 應有程序得清楚鑑別每一個個人資料的生命週期所會產生之可能風險,分析並提出適當風險處置回應,並計算剩餘風險:
A. 風險評鑑及處置回應之程序應由國家制訂;
B. 每一個個人資料檔案生命週期均需獨立的接受風險評鑑、處置回應及剩餘風險計算;
C. 處置回應之手段應反映在相關規章中。
③. 風險評鑑之執行應視情況規劃定期及不定期執行:風險應經由預定的程序進行檢視。
(2) 投入必要資源:
對於建置個人資料保護管理制度,所需投入之必要資源宜有:
①. 對於每一位成員之功能及權責皆必須被清楚低決定並以書面記載:
A. 每一位成員之規定、責任及權責皆需被清楚低制訂;
B. 每一位成員皆需知曉自己及其他成員於個人資料保護組織之規則及權限;C. 經公司法所定義之審計、檢查專員及會計顧問不應參與個人資料保護組織。
②. 個人資料保護管理者需由事業代表人所遴選:個人資料保護管理者需由事業代表人所遴選;
③. 個人資料保護管理者應定期向事業代表人及個人資料保護管理組織定期報告制度執行狀況,以俾能定期檢視及改善個人資料保護管理組織;
④. 建置、維護個人資料保護制度,及個人資料保護情報、風險評鑑、安全控管以及事故預防與抑止之必要預算評核。
(3) 個人資料保護內部程序制定:
組織對於以書面制訂、維護內部管理程序時應包含下述內容:
①. 界定個人資料範圍;
②. 法規鑑別;
③. 風險評鑑、處置回應;
④. 個人資料保護管理組織;
⑤. 個人資料事故緊急應變處理程序;
⑥. 個人資料蒐集、處理及利用管理程序;
⑦. 個人資料之適當管理;
⑧. 當事人權利行使;
⑨. 個人資料保護管理教育訓練;
⑩. 個人資料保護文件管理;
⑪. 當事人訴怨、申訴管理;
⑫. 內部稽核管理程序;
⑬. 矯正及預防管理程序;
⑭. 管理審查會議;
⑮. 內部獎懲規範。
個人資料保護管理制度應定期的修訂,以期能因應組織實際營運的需求。
(4)教育訓練:
經由規劃的教育訓練,使基層員工、專責人員皆能接受適當的教育訓練,使其皆能對個人資料保護管理制度及相關法規有所瞭解,更進一步能將個人資料保護管理制度內化,以期降低組織於個資防護之風險,更能增加企業競爭力。
(5)個人資料保護管理制度推行運用:
藉由全面於組織內推廣個人資料保護管理制度,使員工皆能瞭解組織對於內部個人資料保護之規範需求,並養成於蒐集、處理或利用個人資料時,皆能以標準作業流程執行之。
(6)運用狀況查核及改善:
定期針對個人資料保護管理制度之審計與檢查實有其必要性,組織應至少每年執行查核一次,並針對查核的結果予以檢討及改善。而組織的審計或查核計畫,應經過事業代表人之核准同意。
(7)事業代表人之改善:
對於法規、命令、組織流程或內部程序文件的重大變更,或是上級機關之要求,以及內部資源配置管理、重大事故審議等重要事項的決議,皆應由事業代表人予以決定,以期對組織對於個人資料保護有所改善。
-
2018.01.30
個人資料保護專欄(二十六)-個人資料風險管理(一)
個人資料風險管理
1.概述
「風險」指會對目標產生不確定影響的因素,組織經營為達成一定的目標,在執行或規劃營運活動、政策、方案、製造或服務流程時,都會面臨各式各樣的「風險」,這些不確定性的因素可能變好,也有可能變壞,故組織應去思考如何管理並控制「風險」。
組織所面臨的風險,反映在不同面向,例如,社會情境、環境考量、資訊安全因素和保全等級等方面,當然,個人資料之使用亦有可能產生風險,故組織為管理個人資料風險,應建置系統化的風險評估方法,能幫助組織鑑別個人資料使用流程中的風險及危險性,採取適當且正確的防護措施,降低個人資料風險,達成法規範或國際標準之要求,並透過嚴謹且系統化的決策及規劃,對避免個人資料風險作有效的資源分配及運用,順利達成組織之經營目標。
例如,組織設定客戶資料不外洩為目標,從客戶加入會員填寫資料表,建置客戶資料庫到資料使用,於一連串行為中利用系統化風險評估方法判別可能存在之風險,風險如:駭客入侵、非權限人員存取客戶資料盜賣給他人…等,當判別出風險,應於必要時採取防護措施,例如,資料庫防入侵系統建置、人員權限管控及使用記錄保存等,能有效降低風險,達成客戶資料零外洩之目標。
2.參考標準
目前各管理系統以ISO 31000「風險管理原理及指導綱要(Risk management–principles and guidelines)」為基礎,對風險管理發展出系統的評估方法,描述了一致性的架構及過程之要求,以使風險評估在組織的各個階層可以有效的被應用及展開。
組織欲建置個人資料風險管理,可以參考三種目前在台灣常見的個人資料管理系統及法規中涉及個資風險之要求,摘錄如下:
2.1個人資訊管理系統(Data Protection-Specification for a Personal Information Management System, PIMS, BS 10012)的「4.4 風險評估」內容中提到:
『組織應實施一項流程以評估和處理個資相關人員的風險程度,這項評估也應包括委由其他組織所執行的個資處理,組織須管理由風險評估過程所識別出的任何風險,以降低不符合政策要求的可能。』
2.2臺灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System, TPIPAS)的「4.4.3風險管控措施」內容中提到:
『事業應就納入管理範圍之個人資料,識別事業因蒐集、處理、利用個人資料可能面臨的風險,視需求訂定管控措施。』
2.3個人資料保護法:
個資法施行細則第12條安全維護措施第2項第3款提及,組織應採取『個人資料之風險評估及管理機制』,以防止個人資料被竊取、竄改、毀損、滅失或洩漏。
3.個人資料風險評估流程設計
個人資料風險評估流程設計的第一步是決定實施的「範圍」和採用的「工具」,藉由盤查個人資料檔案及審查相關的法規和其他要求、承諾、可使用的資源與技能,或是獲得外部專家的建議,例如,隱私權、法規和技術等方面,用以設計適合組織實際現狀的風險評估準則及執行方式。
圖八、個人資料風險評估流程設計
3.1了解個人資料檔案管理現況
組織首先要藉由「個人資料清查及盤點」確定現有之個人資料檔案之存在及使用現況,並確定風險評估實施之範圍。也可藉由建立「個人資料流向分析」,載明完整的個人資料輸入(來源)與輸出(產出)流程,檢視是否有遺漏。
3.1.1個人資料清查及盤點:
組織藉由〈個人資料清查〉了解個人資料防護管理現況,及藉由〈個人資料盤點〉蒐集個人資料檔案,評估組織目前所推動的個人資料保護管理系統運作及個人資料運用之情形。
由個人資料清查及盤點結果,界定個人資料防護範圍及個人資料檔案使用類別等,據以訂定組織之個人資料風險管理政策。
3.1.2個人資料流向分析:
組織可利用文件審查、同仁訪談或現場訪查之方法,進行分析並識別該單位與個人資料相關之活動、服務過程產生的個人資料檔案使用狀況,並新增或更新該單位之「個人資料流向分析表」。
風險評估依據「個人資料流向分析」,考量操作所產生之個人資料檔案使用狀況,包括相關流程中輸入(來源)與輸出(產出)之內容,以避免遺漏風險。
3.2個人資料風險評估準則建立
組織完成確定個人資料風險評估範圍後,就組織現況建立個人資料風險評估一致性準則,闡明組織欲達成之目標及風險管理承諾,內容應包含:
3.2.1個人資料風險管理基本原則;
3.2.2利害相關人關切之議題及其個人資料風險管理要求;
3.2.3個人資料風險管理的責任與義務;
3.2.4個人資料風險處理的方式;
3.2.5管理階層對個人資料風險處理提供必要資源之承諾;
3.2.6個人資料風險管理績效量測與監督的方式;
3.2.7適時審查並改善個人資料風險管理準則與框架之承諾;
3.2.8適當的內部溝通及外部傳達個人資料管理政策。
3.3權責確立與資源配置
3.3.1權責確立:
組織施行個人資料風險評估,為確保個人資料風險充分被揭露、能妥善控制個人資料風險及確保其管理成效,應於組織內部建立個人資料風險管理相關權責。
例如,個人資料檔案保有者〈風險擁有者〉的職責與管理義務、組織各層級對個人資料風險評估結果之辦理事項、建立風險評估績效指標及內/外部報告流程等。
3.3.2資源配置:
組織投入風險評估之資源是有限的,在配置資源時應審慎考量如何使資源發揮最大之效力,能使個人資料之風險被有效降低。
資源可能被用在組織人員之風險認知與其能力提升、系統化個人資料風險評估流程、建置資訊與知識管理系統等。
3.4建立與利害相關人溝通與報告之機制
3.4.1內部溝通與報告
為支持與鼓勵組織內部個人資料風險擁有者積極地揭露並處理個人資料風險,應建立適當之內部溝通與報告之機制,以確保個人資料風險評估有效資訊來源於各層級,並且讓組織各層級得以即時了解處理個人資料風險過程中相關的資訊,並使個人資料風險評估被及時維護。
3.4.2外部溝通與報告
組織並建立與外部利害相關人溝通的管道,以鼓勵外部利害相關人能夠參與個人資料風險管理的過程。例如:將適當之個人資料風險處理過程的相關資訊,提供事業主管機關作為組織個人資料防護安全維護措施合法之參考依據。
另外藉由提供溝通與協商的回饋機制,使發生緊急個人資料事故時,能確保與外部利害相關人的交流順暢。
-
2018.04.16
個人資料保護專欄(二十七)-個人資料風險管理(二)
1.階段一、個人資料事故鑑別
藉由全面鑑別組織個人資料環境,評估風險來源及找出存在之弱點後,評估個人資料事故潛在結果。
完整而全面鑑別是重要的,現階段未被鑑別出之風險,將不會進行下一步風險分析,故應有適合組織的鑑別方式。
1.1鑑別環境
鑑別組織現在的個人資料環境,評估存在的風險來源,藉以列出一個風險清單,以供後續個人資料風險分析使用。
風險來源如:間諜、順手牽羊者、未預警停電、洪水、病毒、木馬程式等。組織對風險影響的認定程度,與組織文化及實體環境有很大的關連。
1.2找出管理弱點
找出會造成個人資料被竊取、竄改、毀損、滅失或洩漏等傷害之弱點,弱點問題可能發生於:
程序(包含管理面、組織文化、人為因素、行政、實體規劃);
資訊(包含技術面、軟體與硬體)。
1.3評估個人資料事故潛在的結果
個人資料事故潛在的結果測定,可以藉由估算事故發生頻率的方式來加以界定。
2.階段二、個人資料風險分析
個人資料風險分析,提供風險成因、風險來源、其事故積極和消極的後果、事故發生的可能性等「風險屬性」,並綜合所有個資風險屬性,分析出重要程度,使風險得以被分析。
什麼是「風險屬性」?
以「個人資料檔案價值」說明,指在不同組織、業務特性及法規上,個人資料檔案對於組織在個人資料管理上的價值皆有程度上的不同。決定個人資料檔案價值,可作為組織評估其所保有的個人資料檔案重要性的屬性。
例如,依個資法,將個資分為「一般個資」,及重要性較高之「特種個資」。故含有特種個資之個人資料檔案,重要性較高。
應注意,一個個人資料檔案可以有多種事故;一種個人資料事故亦可能會影響多個個人資料檔案。另外,現行的管制措施、管制成效等因素也應納入考慮。
2.1階段三、個人資料風險評量
個人資料風險評量,係根據個人資料風險分析的結果,組織綜合考量處理風險所需的成本、影響組織營運的程度、所需技術門檻或適法性等因素,決定那些個人資料風險需要處理或是優先處理的決策。
個人資料風險評量的結果,可能導致組織針對該風險施行更精確或高階的分析,同時也可能導致組織對風險不採取任何處理或不適用的決定。
例如,客戶資料庫電子檔案風險分析的結果為高風險,依組織現有人員取得權限管理、資料庫防護及檔案遺失備份皆已做到資料安全極致,依組織規模及資源無法似銀行等使用高級保密等級防護,則管理階層可決定接受其風險,不採取任何處理。
2.2個人資料風險處理
完整執行個人資料風險評估作業後,依據組織現況訂定之不可接受風險進行處理,擬訂風險處理計畫,並控管執行進度與施行成效,各單位須依所訂定之因應對策加以改善。
3個人資料風險評估結果審查
3.1監督與審查
個人資料風險評估執行的過程中,組織應有監督和審查的流程,以確保風險控制及處理之規劃及運作具成效,並可從風險評估發生的事件、變化、趨勢、成功和失敗中分析和學習風險評估的方式,獲得進一步的資訊以改進風險評估或能夠識別新出現的風險。
應注意,監督和審查的應記錄下來,且向內外部溝通與報告。
3.2整體持續改善
個人資料風險評估的結果,除了呈現組織對於風險趨向、程度、全面性的理解外,更將組織面對的風險,處理在可接受的風險範圍內,作為持續改進個人資料風險管理的基準。
例如:透過組織的個人資料防護目標、衡量、審查和系統化流程,可隨時修改並持續改進個人資料風險管理系統。
-
2018.05.07
個人資料保護專欄(二十八)-個人資料保護管理系統稽核(一)
個人資料保護管理系統稽核
1.概述
「稽核」依品質與環境管理系統稽核指導綱要(ISO 19011)的定義為:『系統的、獨立的與文件化的過程(流程)用以獲得證據及對它客觀的評估,以決定稽核準則所達成的程度。』
而對於稽核的實施,又因其主要目的不同,分為內部與外部兩種:
「內部稽核」的重點,由組織內部人員負責稽核,自評確定管理系統符合政府法規要求、國際管理系統標準或組織的承諾,並提供被稽核者改進其管理系統的機會;「外部稽核」的重點,則是由組織外部人員(可能是驗證單位、客戶)負責稽核,為監督組織管理系統有效執行及持續維護,並確認該管理系統符合政府法規要求、國際管理系統標準或組織的承諾。
外部稽核除因各國際管理系統驗證要求需定期執行外,其餘基於客戶或政府之不定期抽查,其方式及時間不固定,故本章主要介紹組織內部定期自我檢查的「內部稽核」方式。
1.1稽核的目的:
判定組織管理系統中的各要項是否符合法規及系統標準之規定。
判定組織管理系統對於達成目標的有效性。
提供被稽核者改進管理系統流程的機會。
能確保組織管理系統各環節能有效在各部門及人員實施及管理系統持續落實改進。
稽核不僅可作為符合法規要求或廠商評估的一種手段,更可透過該措施,達到監督及健全組織個人資料保護管理系統的有效運作,降低發生個資事故的風險,免於面對違法及主管機關裁罰之後果。
2.參考標準
組織須定期依計畫實施內部稽核,俾能驗證組織之個人資料保護管理系統是否符合法規或國際標準之要求,並確定該管理系統之有效性。
組織若欲建置內部稽核管理機制,可以參考三種目前在台灣常見的個人資料保護管理系統及法規中涉及個資「內部稽核」之要求,摘錄如下:
2.1個人資訊管理系統(Data Protection-Specification for a Personal Information Management System, PIMS, BS 10012)的「內部稽核」內容中提到:
『稽核規劃
組織應考量政策要求,規劃、健力和維持稽核方案,以監督和檢討組之處理個人資訊的有效性及效率。
稽核方案應明確包含任何高風險個人資訊之處理,且應包含其他組織執行的個人資訊處理(參照第4.16條)。
稽核員的選擇
組織應選擇適當的稽核員,且稽核員應盡責進行稽核,以確保稽核方案的客觀性及公正性。
備註:規模較大以及處理高風險個人資訊的組織,應考量由外部當事人定期進行稽核。
稽核要求
稽核應在規劃的時間進行,以判定個人資訊管理系統:
a)運作是否符合政策及確立的程序;以及
b)是否已根據技術要求來實行和維持。
在稽核後,如發現個人資訊的處理有任何重大偏離政策及/或確立程序的情況,應將詳述此等情況的稽核報告提供給管理階層。
稽核報告亦應確認可能影響組織遵循政策的技術或流程相關問題。』
2.2臺灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System, TPIPAS)的「8.內部評量」內容中提到:
『事業每年應依其特性規劃執行內部評量,以瞭解個人資料管理制度是否符合下列要求:
(1)符合法規及本制度之要求。
(2)符合個人資料保護管理政策、手冊及相關具體規則之要求。
事業應規劃內部評量方式及流程,以決定內部評量之準則、範圍、頻率及方法。
事業應將內部評量之規劃、執行、報告、改善、追蹤等事項製作書面之內部評量報告。
內部評量應由具備個人資料內評師或個人資料驗證師資格執行,並由其出具內部評量報告。』
2.3個人資料保護法:
個資法施行細則第12條安全維護措施第2項第9款提及,組織應採取『資料安全稽核機制』,以防止個人資料被竊取、竄改、毀損、滅失或洩漏。
3.內部稽核規劃
「內部稽核」須按組織個人資料保護管理系統之活動狀況及重要性為基礎而排列進度,被稽核的區域及過往的內部稽核結果亦應列入考慮,並做成完整之計劃後據此執行,內部稽核流程如下圖:
擬定稽核計劃或方案
執行稽核
檢討稽核結果
跟催稽核矯正行動
納入管理審查
圖一、內部稽核流程
-
2018.06.12
個人資料保護專欄(二十九)-個人資料保護管理系統稽核(二)
1.擬定稽核計劃或方案:
稽核工作需要事先的規劃與準備,並將下列事項列入考慮:
1.1排定稽核計劃
組織可依其內部已制定之稽核程序,每年排出其年度系統稽核計劃,或者亦可依其組織新執行某一項管理系統的計劃或方案後,編排稽核計劃。
組織初開始執行個人資料保護管理系統後,得選擇執行稽核作業,以確認特定規定的事項或程序均已納入此管理系統計劃或方案。例如,組織推動個人資料保護管理系統因應或驗證,待管理系統程序建置完成後即實施稽核作業,用以確定個人資料保護管理系統之國際標準或因應作業之要求均已納入組織的管理體系中。
若組織個人資料保護管理系統或個資保護因應作業已經由管理系統稽核作業認可,並且經歷一段時間運作,則可安排符合性(一致性)內部稽核。
內部稽核計劃應包含項目:
(1)稽核目標:例如,確認個人資料保護管理系統或個資作業是否符合稽核準則、確認個人資料保護管理系統或個資作業是否適當地執行與維持。
(2)選定稽核之範圍:例如,預定稽核之部門或區域、有哪些危害/風險(適用含有風險管理之管理系統)應注意…。
(3)預定執行稽核之頻率:例如,每季一次、每半年一次、每年一次…等。
(4)不定期稽核:例如,當有不可接受風險改變、法規改變、個資作業改變、管理系統要求(高階主管或個資異常狀況太多時,可以安排臨時的突然稽核)。
1.2編排細部稽核排程及確定稽核時程。
根據年度稽核計劃於執行稽核前二週(至少一週前)需要排定細部稽核排程,並事先聯絡安排合格之稽核員,並應包含下列項目:
(1)稽核日期與時間;
(2)稽核員之成員指派/安排;
(3)稽核小組長指(推)派;
(4)稽核之區域及負責人;
(5)稽核之範圍與項目。
排定細部稽核排程後,必須事先諮詢受稽核單位之業務狀況,並確定該區域得指派負責人員給予稽核作業支援。
1.3通知接受稽核單位及負責人員:
稽核計劃必須經組織管理階層簽署後發給相關單位,予以事先知會,細部之書面稽核排程一經確定,也應於稽核活動前一星期送達受稽核單位。
1.4取得與稽核相關之文件:
細部的稽核排程經確定,指定之稽核員可就受稽核單位之業務予以事先了解,並可要求受稽核單位提供與稽核相關之文件,以便事先瀏覽及製作稽核查檢表。
與稽核相關之文件包含:
(1)手冊(如有制定);
(2)程序書;
(3)作業規範;
(4)與個資保護管理系統有關管理規定;
(5)未結案之改正措施。
1.5準備稽核查檢表
「稽核查檢表」可依據有關之管理文件、稽核準則、管理系統之條文項目要求及受稽核單位提供上次稽核活動之紀錄來製作準備。
編訂稽核查檢表之前,稽核員必須藉著詳細閱讀有關文件,以促使稽核員熟悉被稽核單位各項業務及作業流程。
「稽核查檢表」可以當作一項輔助記憶的工具,來提醒稽核員必須取得那些情報資訊,來確認那些觀察到的事實。表九、稽核查檢表
受稽核部門
稽核日期 年 月 日
稽 核 員
文件編號名稱
項次
稽核項目內容 判定 狀況說明 不符合報告編號
OK NG NA 2.執行內部稽核作業
內部稽核排程確定,且稽核人員完成稽核查檢表,稽核小組則可依照排程日程,抵達受稽核單位執行稽核,稽核作業也許是一天,或超過一天以上。
每次稽核第一天時間都需安排「起始會議」,時間安排不宜太長,目的是讓受稽核單位人員於執行稽核之前,有時間能做好其本職之業務安排,以避免佔用稽核時間。
同樣地,稽核作業結束後,稽核小組須召開「總結會議」,全盤討論內稽核過程中的優點、注意及改善事項。
2.1召開起始會議:
起始會議之目的應包含下列各項:
(1)說明稽核之目的與範圍;
(2)說明排程表;
(3)確定受稽核單位陪同人員;
(4)暫定總結會議時間。
2.2展開稽核作業:
使用事先準備妥善的稽核查檢表,作為稽核作業之輔助工具,方便於稽核過程中查核到受稽單位執行之狀況,避免遺漏。
執行稽核作業時,在受稽核單位觀察到之現象,應詳細登錄於稽核查檢表上,其內容應包含:
(1)相關文件(表單)的文號、日期;
(2)所查閱現況之詳細敘述(包括符合與不符合事項等)。 -
2018.07.17
個人資料保護專欄(三十)-個人資料保護管理系統稽核(三)
1.檢討稽核結果
在完成稽核作業後,稽核員可依據稽核期間所發現之證據,評估並分析所有不符合狀況及違反規定事項的事務,來確認稽核員判定之不符合事項。
舉凡未遵循作業程序書或作業規劃等文件作業規定者均可判定為「不符合事項」,並須加以紀錄,以便提交給受稽核單位確認及提出矯正行動。
1.1填寫不符合報告:
不符合事項一經確定後,稽核員得依據客觀憑證,填寫報告並描述不符合之狀況。
1.2召開總結會議:
稽核員於完成不符合報告後,稽核員依原訂之排程,邀集受稽核單位有關人員及其管理階層代表參加,召開總結會議,以對此次稽核結果做檢討。
稽核總結會議之目的為:
(1)說明稽核結果及所有稽核發現不符合事項。
(2)簡要總結報告。
(3)請單位提出異議說明。
(4)請受稽核單位主管簽署不符合事項。
(5)確認矯正措施預期答覆時間。
1.3總結報告:
稽核小組長可就此次稽核結果及發現之不符合事項,整理歸納不符合事項之屬性,以了解該組織個資保護管理之弱點,以便提報管理階層,要求各單位就不符合事項提出矯正行動。
稽核小組長亦可就此次稽核結果,發出總結報告。總結報告可於稽核結束後,由稽核小組長正式發文,向管理代表及管理階層提報,並要求各受稽核單位,於限期內提出矯正行動之回覆及矯正行動預計完成的時間。
總結報告之內容可包括:
(1)觀察結果:敘述缺失單位不符合事項;
(2)歸屬:敘述不符合事項違反法規、標準或程序之條款;
(3)說明:不符合事項與不符合法規或條文之陳述與統計。
稽核結果可摘要敘述在總結報告之封面頁,而所有之稽核不符合事項,得以歸納方式表示。總結報告本文,應簡述稽核過程,不符合報告,可歸屬於附件。
2.跟催稽核矯正行動
收到受稽核單位回覆不符合事項之矯正行動通知後,稽核小組長應安排稽核員執行確認工作。
若稽核員確認不符合事項已經改正,並確實能防範不符合事項再發生後,則不符合事項得經由稽核員署名後結案。
但經稽核員追蹤查證,發現受稽核單位回覆之矯正行動,仍不能防範不符合事項再發生,則稽核員須將結果確實紀錄,並回報稽核小組長及管理代表,且要求受稽核單位繼續改進並回覆矯正行動。
3.內部稽核結果納入管理審查
先由於組織管理人員須在適當期間內審查個人資料保護管理系統流程,以確保組織之個人資料保護管理系統持續的適法性與有效性,而後於管理審查時納入內部稽核結果之評估,並保存紀錄。
4.持續改進
個人資料保護管理之稽核系統應將持續維持及改進的精神,設計於系統中。有下列幾點該注意的:
4.1內部稽核不應導致將達成個資管理目標的責任,由實際負責的人員轉移至稽核單位。
4.2內部稽核不應造成個資管理功能的範圍擴大至超過達成個資管理目標之所需。
4.3運用管理階層審查與內部稽核相互查核,以確保個資管理流程得以正常運作。
5.稽核員資格
稽核活動的主角是「稽核員」,重要工作為取得有關個人資料保護管理系統活動完整且正確的情報,經常要詢問受稽人員執行狀況,因此當稽核員在執行內部稽核作業時,常會面對受稽人員的排斥或不在意的態度,故建議稽核員應有些特質及技巧以化解緩和氣氛。
5.1稽核員特質:
稽核員重要的特質在於溝通語言及書寫報告之能力,稽核員應該不斷地嘗試增進這些能力。其餘稽核員之特質舉例如下:
5.1.1善於交往:平常須與被稽核單位人員保持良好之人際關係。
5.1.2自律:工作獨立於受稽核單位。
5.1.3耐性:發現事實需要檢視大量之文件。
5.1.4興趣廣及好奇:應具備廣泛的興趣及高超之發問技巧,以發覺問題。
5.1.5表達力強:能以清晰之口語及簡潔書寫報告能力,向受稽核單位表達。
5.1.6心胸開放:應具備開闊之心胸,來理解受稽核單位之解釋。
5.1.7勤奮:稽核工作因必須在有限時間內完成工作。
5.1.8充份準備:應於稽核前做好稽核查檢表之準備工作。
5.1.9良好訓練:須能與工作環境融合,不會與人爭辯,且非表達個人主觀意見,而是陳述事實。稽核工作時,必須公正且具獨立性,不會花過多的時間在不重要的細節上。
6.稽核的技巧
稽核員雖然很了解稽核程序與要點,但是稽核員還是要不斷地參與稽核,追求增進技巧和技術。稽核員的主要技巧為:
6.1時間管理:運用事先準備好的稽核查檢表,來分配每一稽核項目所需要花費的時間,以便確實掌握時間,避免較不重要之細節浪費過多時間,稽核員總希望在有限之時間發現事實,故時間管理相當重要。
6.2觀察發現事實:稽核的目的,就是在藉觀察來發現事實。例如,藉由讀資料、文件、紀錄、觀察、傾聽及高超的發問技巧,有效地掌握問題。
6.3報告能力:包含口頭報告與書寫文書能力。
「口頭報告能力」需將稽核過程所發現之缺失,能簡明扼要的提出讓受稽單位明瞭缺失所在。
「書寫文書能力」則稽核報告必須是簡潔摘要的,將稽核區域發現不符合事實之敘述,並且這些陳述加以彙成撰寫總結報告。
6.4隨手加註記:將稽核過程所觀察發現之事實,隨手記錄於稽核查檢表或筆記本中,以維持稽核活動紀錄之完整性,並作為稽核總結報告之依據。 -
2018.08.20
個人資料保護專欄(三十一)-企業推行個人資料保護管理系統常見問題(一)
企業推行個人資料保護管理系統常見問題
1.為什麼要推行個人資料保護管理系統
目前我國個人資料保護法公布施行已多年,但可供各組織參考、依循之解釋標準仍未盡完善,再加上台灣因違反個資法而涉訟的案件主體多為個人犯案而非組織違法,且許多組織並未感受到法規的強制力規範,不願投入個人資料保護需分配一定資源,組織常抱持著僥倖的心態,或是以為只要找專家、學者來上上課,就等於是因應個資法了。
但需特別注意者,經濟部商業司日前已正式成立「個資保護行政檢查小組」,由經濟部負責主導,邀集財團法人資訊工業策進會科技法律研究所專家,以及內政部警政署刑事警察局成員與實務學者擔任檢查小組成員,將對有個資管理疑慮之組織進行行政檢查,可想而知,雖目前主要是針對可能發生過個資爭議或事故的組織進行檢查,假以時日亦有可能對其他組織進行日常檢查,並對檢查之結果,於必要時依個資法的規定命組織限期改正或處以行政罰鍰。
此外,近年大量個資外洩產生之詐騙事件及行銷電話氾濫,民眾對於個人資料保護的意識亦逐步養成,從某大型賣場因違反個資法關於行銷之規定,重複寄送廣告信件,民眾憤而提起訴訟,賣場因而被判賠新台幣兩萬六千元可以窺知。
縱上所述,如果仍抱持著姑且敷衍的態度面對個人資料保護,組織勢必將會被國際所淘汰,或遭逢巨大的訴訟與賠償風險,因此組織更應以積極的態度來面對個人資料保護,而比起頭痛醫頭,腳痛醫腳的因應方式,組織或許更應考量導入整體架構完善之個人資料保護管理系統,一方面可符合個人資料保護法之要求,另一方面亦可依管理系統持續改善精神「計畫、執行、查核及處置(Plan-Do-Check-Act)」管理循環方式,加強組織保護體制。
而政府機關亦應加強推廣個人資料保護的觀念,進可參考日本於推行日本隱私權標章(Privacy Mark)的方式,使各行各業皆以取得該標章為組織有基本個人資料保護意識的表彰,使消費者更願意支持,退亦可依循韓國於個人資料保護行政檢查的方式,針對有取得ePrivacy Mark的組織,免去或降低行政檢查的流程,這些方式能有效鼓勵或促使組織加速因應個人資料保護。
2.如何推行個人資料保護管理系統
個資法施行細則第12條僅要求組織得依「比例原則」建制之安全維護措施,然並未對其措施內容有具體的說明,而原訂應由各目的事業主管機關公布之「目的事業個人資料檔案安全維護計畫及業務終止後處理辦法」,大部分行業尚未公布,以致組織難以適從,不知該如何下手。
因此,組織於推行個人資料保護管理制度時,可以參考目前國內相關管理系統,例如:臺灣個人資料保護與管理制度(TPIPAS)、個人資訊管理系統(BS 10012)、隱私權保護框架 (ISO 29100)等管理系統之外,但如基於組織經費或架構等考量,組織必須自行推行時,可參酌戴明博士的管理循環步驟「計畫、執行、查核及處置(Plan-Do-Check-Act)」,確保管理系統所需之文件已被建立、實施及維持,並加強組織高層管理人員監督職責,以滿足個資當事人之需求與期望。
組織在推行時最好依循下列事項進行:
2.1推行前準備:
(1)確認組織指定高層管理人員負責管理系統之推行:指定高層管理人員為內、外部溝通聯繫之重要腳色,且為推行個人資料保護管理系統之主導者,包括確認客戶要求、組織內不同部門之協調溝通、安排規劃教育訓練、成立推行委員會、推行計畫掌控等,一個計劃是否能夠順利準時完成,有賴於指定高層管理人員的能力,故其人員選定很重要。
(2)經營者的決心與員工的共識:於推動個人資料保護管理系統時,可能會對現有系統做改變甚至必要之新增活動,員工易產生排斥之現象,藉由組織之最高管理階層作推動決心之傳達或宣示,凝聚員工推行系統之共識。
(3)全公司共同參與和執行:管理系統之建立需組織全體員工共同努力,應由各部門推舉種子人員成立推行委員會以建立各部門流程之程序,全體員工再依建立之程序落實執行,並於建立與執行之過程,回饋意見以確保管理系統之完整性及適用性。
(4)掌握顧客及法規之要求:於個人資料保護管理系統建立時,除符合個資法之要求外,亦須由蒐集顧客之要求,並再鑑別產品或行業之相關法規要求,並將其相關符合規定之作業方式納入系統中,以能符合顧客及法規要求。
(5)成立推行委員會及專案計畫擬定:高層管理人員應在導入管理系統前,先行成立推行委員會,並擬訂專案進行計畫,以利整個專案展開及進度追蹤。推行委員會之組織架構如下圖:
-
2018.09.18
個人資料保護專欄(三十二)-企業推行個人資料保護管理系統常見問題(二)
1.推行中步驟:
(1)教育訓練:指定高層管理人員應考量專案執行及後續維護個人資料保護管理系統運作,組織人員所必須具備之能力,排定所需課程、時程及受訓人員。
(2)流程清查與盤點:鑑別組織中所有涉及個資之流程,以期個人資料保護管理系統推行能涵蓋組織之所有流程。
(3)風險評估:將上述鑑別出之個資流程,判別出不符合法規範或個人資料保護管理系統之部分,容易有個資事故風險(例如:個資外洩)之流程後,針對風險高者予以改進作業流程,以減少違法之可能性及個資事故之責任。
(4)文件建置與發行:依循上述步驟後,撰寫個人資料保護管理系統所需之政策及各部門應遵守之個資程序文件,並予以發行公告以作為組織人員涉及個資作業流程之規範。
(5)內部稽核:待文件發行後,組織內各部門需依建立之各項程序文件執行,並著手規劃執行內部稽核之相關計畫排定,內部稽核人員之教育訓練及遴選等相關作業,以確認文件與個資法及個資料保護管理系統要求之符合性。
(6)管理審查:指定高層管理人員應先決定包含個資法及個資料保護管理系統要求審查項目,於召開管理審查會議時向最高管理階層報告專案運作之狀況及需要改善之處,並產出會議記錄,若有決議待處理項目,要求負責部門或人員及預計完成日期,並由指定高層管理人員或其指定人員依待執行事項及預計完成日期去確認是否依決議事項執行,及執行之有效性。應於第三方驗證前完成管理審查活動。
(7)第三方驗證:如組織個資保護管理系統是依據TPIPAS、BS 10012、ISO 29100等個資保護相關管理系統建置,於管理審查後得請第三方驗證機構進行驗證,排定驗證之申請、日程確認、受稽人員名冊,依據驗證報告與以改進後,取得相關個資保護證照,做為組織投入個人資料保護之證明。
2.推行後維持:
個人資料保護管理系統建置完成或驗證結束後只是管理系統導入運作之起點,管理代表須確保建立之管理系統可持續因應組織之需求及變化,並可持續符合客戶及法規法令要求。
3.推行個人資料保護管理系統的效益
組織未推行個人資料保護管理系統時,容易忽略個資在組織內部的流動,甚至在無知無覺中個資從組織流出,個資外洩導致違反個資法之要求,一旦事情發生不僅是面對個資當事人之求償,更甚者目的事業主管機關或當地政府可以介入調查並得公布調查結果,對於組織除金錢上的損失,所面臨商譽上的打擊更大,而推行個人資料保護管理系統可以預防組織面臨這種狀況,並帶來以下效益:
4.增加組織形象及客戶信賴度:
隨著個資法施行公布迄今已有一段時日,無論是消費者或組織對於個人資料保護的重要性皆有一定認知,同時,近日對於組織之企業社會責任,亦對於尊重消費者權益部分,要求尊重消費者的隱私,上市上櫃公司應遵守相關法規確實尊重消費者之隱私權,保護消費者提供之個人資料,因此,組織如果能建制一套完整且有效的個人資料保護管理系統,甚或是通過國內認可之個人資料保護驗證制度,取得資格或標章,例如,經濟部商業司委託資策會科法所推行之台灣個人資料保護管理系統,通過驗證後取得隱私權標章,於此便可向消費者及社會周知,組織對於個人資料保護的重視以及投入的資源,不僅可增加消費者對於組織的信心,更願意將個人資料提供給組織使用,同時對於國際間業務之交流,更能增加許多機會,例如,美國的安全港原則及歐盟對於個人資料於國際傳輸的限制,皆對於接受個資之組織所在國家的個人資料保護與管理程度,有相當之要求可見一斑。 -
2018.10.24
個人資料保護專欄(三十三)-企業推行個人資料保護管理系統常見問題(三)
1.減少個資外洩風險及控管成本:
組織於尚未推行個人資料保護管理系統之前,最常見的個資管理問題當屬難以掌握組織個人資料流向,以及個人資料重複保存這二類,如果未對組織流程中各項個人資料之生命週期有充分的掌握,便容易產生個資濫用或誤用的狀況,於組織控管上造成相當大的成本負擔,同時,傳統檔案的使用習慣是多多益善,因此組織較無使用單一資料庫,而產生了許多重複之個人資料檔案。
但是,如果組織能有效推行個資管理系統,明確掌握流程中個人資料生命週期,不僅能對重要環節加強控管,更能有效降低個人資料重複保存的情形,如中興大學於推行個人資料保護管理系統後,其所保存之個人資料檔案將低了百分之三十,這不僅減輕了該校於檔案管理的成本,更相對降低了個資外洩的風險。
2.降低組織及個人違法風險:
我國個資法目前對於組織造成當事人個人資料之損害,除了應負舉證責任,證明組織於處理當事人個人資料時除無過失或已盡相當注意義務,否則應負損害賠償責任,原則上一個人賠償以新台幣五佰元至二萬元間(除能證明其實際受損金額外),而因單一事件賠償最高上限為新台幣兩億元。
此外,目的事業主管機關及當地政府,亦能針對未遵守個資法規定之組織,裁處行政處分,如禁止組織蒐集、處理或利用個人資料檔案、或命其刪除個人資料檔案等,或是處以行政罰鍰新台幣二萬元至五十萬元不等,同時機關負責人、代表人或其他有代表權人,如未負相當監督義務,亦應與組織負相同的行政罰鍰。
對於沒有建制個人資料保護管理系統之組織,訴訟上之舉證往往難以有效的提出組織針對個人資料有完善的保護,也因此提高了訴訟上敗訴之風險,造成需負擔相關損害賠償責任及行政處分或行政罰鍰之裁處。而個資法對於不當使用個人資料之個人,亦有刑事責任,罰金或/及有期徒刑、拘役之判處。
從而,組織如果能因應個人資料保護管理系統,於建制、推行及營運管理系統的過程中,保留適當的紀錄,並加強對於人員處理個人資料之保護認知及控管,一方面可以強化組織於個資訴訟上舉證之能力,另一方面亦可以保護遵守組織制度規範的個人,使其不易違反法規規定,更大大降低兩者於訴訟上之責任與風險。
-
2018.12.11
個人資料保護專欄(三十四)-企業推行個人資料保護管理系統常見問題(四)
【推行個人資料保護管理系統常見問題】
而於組織建制、推行個人資料保護管理系統時,亦有可能因為以下因素,而導致組織發展管理系統受到阻礙或遲延:
1.組織高層投入積極度不足:
組織於推行管理系統時,如果組織高層對此重視度不足,往往容易產生推行個人資料保護管理系統淪為口號的狀況,基層虛與委蛇,高層敷衍了事,而使整個管理系統淪為官樣文章的窘境。
然而組織於甫建制個人資料保護管理系統時,如能以教育訓練制度導正高層對於個人資料保護的認知與觀念,及得到組織高層相當程度的重視與支持,並向基層員工明確表達組織推動本系統的決心及目標,相信組織能上下一同群策群力,上下一心,迅速達成個人資料保護管理系統之要求。
2.各單位權責不清,導致推行如多頭馬車,或無頭蒼蠅:
於推行個人資料保護管理系統時,因為推行管理系統等於是於日常例行性工作中額外增加任務,故常發生各部門互相推諉卸責,抑或是將建制整體管理系統的責任,全數加諸於人資、法務或資訊部門等與個人資料較相關之單位。
但於組織中,下至每一位同仁,上至每一個部門皆有機會接觸到個人資料,單就少數部門的努力便想要達成個人資料保護管理系統的建制、推行,往往是事倍功半,難有效果。
因此,組織於建制管理系統之前,應明確界定各單位之職司分工,使每一部門皆能明確了解其於管理系統的任務與權限,便可有效執行,而組織高層亦應在各單位間有所爭執時,扮演有效的調解與溝通橋樑,才能使管理系統運行更為順暢。
3.員工對於個人資料保護管理系統的無所適從:
組織員工有時會發生對於管理系統的不瞭解,或要求過於嚴苛而產生滯礙難行的狀況,但是管理系統乃是組織所有成員皆應該瞭解並遵從的規範,如果沒有對員工公告周知,以及進行必要之認知宣導,如何能期盼員工能精確的依循規範的要求執行之?同時,如果一昧求好心切,而制訂了五花八門、繁瑣複雜的管理系統,更容易使員工無法達到規範的要求。
因此,組織於推行管理系統時,除了應以適當的方式公告與員工周知,同時並應舉行定期的教育宣導、實際演練,使無論是新進員工或資深同仁,皆能對管理系統有相當程度之理解,進而將個人資料保護意識及作法內化為日常流程處理時的習慣。
此外,於設計管理系統本身的內容時,亦需考量到組織的規模、處理個人資料的流程性質,及個人資料檔案的數量等因素,依比例原則建制適當且符合組織需求的管理系統,才能使員工在保護當事人隱私權之同時,促進個人資料合理合法的蒐集、處理或利用。
4.無法掌握個人資料保護管理系統標準,導致推行進度受阻:
而組織如欲於推行個人資料保護管理系統之際,若對於個人資料保護管理系統標準內容不甚瞭解,以致於在推行管理系統建設的過程中,容易有誤解或使簡單事情複雜化,而產生挫折感。
所以,組織欲建立個人資料保護管理組織,並取得驗證通過,得於建立管理系統之前派遣員工接受相關管理系統的教育訓練並擔任種子培育成員,使其能對管理系統標準內容有基本的了解,以協助組織建立管理系統。此外,組織亦可考量聘請管理顧問公司協助的方式,藉由管理顧問公司的經驗與方法,更能使組織快速且正確的建立管理系統並通過相關個資保護驗證。