雍興實業(股)創始於民國二十九年，該公司為兆豐國際商業銀行99.556%投資的子公司，為金融機構轉投資之事業，從事金融業周邊整合事業服務，主要從事人力派遣服務業務及電腦列裝整合性服務業務。並於民國八十六年，成立列印裝封整合性作業處理中心，以一貫化的作業方式及高效率的IBM雷射印表機及自動化裝封機，來處理大量的資料列印及裝封作業。
雍興實業對於客戶之個人資料保護至為重視，在個人資料保護法尚未實施前，內部即訂定相關之資訊安全與客戶個資保護管理相關管理制度，透過教育訓練與主管督導，在客戶個資及資訊安全管理及保護方面已有相當程度，個人資料保護法公告實施後，雍興實業即成立專案小組，積極研擬及調整內部管理規章，為能全方面檢視及統整公司既有做法，建立完善之管理系統，使公司日常之作業均能符合個人資料保護法之規定;在雍興實業羅又新董事長指示及全力支持下，領先同業導入BS10012個人資訊管理系統，並選定在國內輔導個人資訊管理統及個人資料保護法經驗豐富之科建顧問為輔導顧問團隊，在科建顧問師群及雍興個人資料保護組織委員會成員的共同努力下，歷經了個人資料盤點、法律法規符合度查檢、個資資安風險評鑑及因應、制度建立、實施及稽核改善等過程，建立了具備P-D-C-A管理循環及持續改進的完整管理系統，並通過法國標準協會(AFNOR)集團驗證並獲頒證書。
羅董事長於該公司經營會議中期勉各級主管，通過驗證不是一項專案的結束，而是雍興實業個人資料保護管理制度全面符合國際標準要求及個人資料保護法規定的開始，期許全體主管及同仁，此時更應上緊發條，在制度的運作上，要透過教育訓練及溝通，使全體同仁能了解並遵照公司規定落實實施，各階主管必須定期稽核並提出持續改善計畫，使重視個人資料保護成為雍興的企業文化，進而獲得客戶肯定及創造口碑為雍興創造競爭優勢。
 

BS 10012是英國在2009年發布的規範(Specification)，主要是針對個人資料的訊息保護，全名是『BS10012資料保護-個人資訊管理系統的規範』。BS 10012規範期望建構基於法規的最佳實務與符合性，是第一個個人資訊管理的標準。

BS 10012 提供一個架構以達成個人資訊的有效管理，它可以被任何規模、產業的組織所使用，並可以適度地依據需要剪裁以符合組織的要求。對於訓練、風險管理、資料分享、保管及處置，與對第三者揭露…等皆涵蓋其中。

台灣的『個人資料保護法』已經於2010年5月26日完成修訂，目前其施行細則還在舉行公聽會中，預計不久的將來，施行細則一經頒布，必然引起大眾的廣泛關注。當今資訊發達，不管是公營、民營的組織，也不論是營利或非營利的組織，都會因為不同的使用需求，取得來自個人的資料。這其實也是將個人資料暴露在風險之中，因為任何組織如果沒有妥善管理好取得的個人資料，引起個人資料的洩漏，未來極有可能造成訴訟，組織的風險也伴隨而至。

因此，重視個人資料的保護將成為組織不可忽視的管理活動之一。而BS 10012是一套管理個人資料的系統，建置BS 10012並將個人資料保護法納入該管理系統中，以完整構築個人資料管理系統，是組織應該走的路。

BS 10012標準的內容也是依據管理循環PDCA所構成，其中分成第0章到第6章，主要內容按照P、D、C、A的順序，內容分別列在第3章到第6章，包括第3章『規劃』、第4章『實行與運作』、第5章『監督與審查』及第6章『改善』等等。唯有透過系統性的管理機制，才能降低組織遭受個人資料保護法的風險與衝擊。

個人資訊管理系統（BS 10012）

目的：

　　英國個人資料保護領域的關鍵立法是《1998年資料保護法》(Data Protection Act 1998, DPA)，該法令實踐了適用於「個人資料」的一項歐洲指令，而根據《1998年資料保護法》的定義，「個人資料」係指可識別存活之人有關的資訊。

　　《1998年資料保護法》是由資訊委員管制和施行，負責促進個人資訊之保護，職責包括核定指引來推動優良實務，裁決符合條件的訴怨，提供資訊給個人和組織，並在法律被違反時採取適當行動。資訊委員有權調查訴怨、評估相關處理方式是否符合《1998年資料保護法》，並核發資訊和施行通知。

　　個人資訊管理系統（Personal Information Management System, PIMS, BS 10012）使用「個人資訊」取代「個人資料」，目的是讓組織能夠備妥個人資訊管理系統，作為整體資訊治理基礎設施的一部分。同時，本標準乃是為任何規模及部門的組織而設計，只要是在組織內負責發起、實行和維持個人資訊管理系統的人員均可使用。目的是為個人資訊的管理提供一個共同的基礎，進而對個人資訊的管理產生信心，並讓內部和外部的評估人員有效評估組織遵循資料保護法律及優良實務的狀況。

　　本標準採用管理循環「計畫、執行、查核及處置（Plan-Do-Check-Act）」，可以提供一個架構讓組織能維持和改善對資料保護法律及優良實務的遵循。

待續…

國際個人資料保護管理系統內容說明

一、個人資訊管理系統(BS 10012）

1、 法規架構：

於個人資訊管理系統（Personal Information Management System, PIMS, BS 10012）(以下簡稱本系統)規範中，主要可分為以下章節架構：

(1) 簡介（Introduction）；

(2) 範圍（Scope）；

(3) 名詞、定義與縮寫（Terms, definitions and abbreviations）；

(4) 規劃個人資訊管理系統（Planning for a personal information management system(PIMS)）；

(5)實行與運作個人資訊管理系統（Implementing and operating the PIMS）；

(6)監督與審查個人資訊管理系統（Monitoring and reviewing the PIMS）；

(7) 改善個人資訊管理系統（Improving the PIMS）。

2、法規內容重點說明：

本系統架構乃是基於英國《1998年資料保護法》﹝1﹞該法令實踐了一項歐洲指令﹝2﹞且是用於「個人資料」，而根據《1998年資料保護法》的定義，個人資料係指與可識別存活之人有關的資訊。本英國標準使用「個人資訊」取代「個人資料」。

而其中對於個人資訊管理系統（BS 10012）最基本的八大資料保護原則，更揭櫫「資料控制者」對於其所保有之個人資料必須：

(1)個人資料不可以非法或不公正方式蒐集、處理（fairly and lawfully processed）；

(2)個人資料僅為具體指明的目的取得，且不得受到不符合此等目的的方法處理（obtained only for specified purposes and not further processed in a manner incompatible with those purposes）；

(3)個人資料應以充分、相關，而非逾越其原本之目的處理（adequate, relevant and not excessive）；

(4)個人資料應正確且最新（accurate and up-to-date）；

(5)個人資料保留時間不超過必要程度（not kept for longer than is necessary）；

(6)個人資料處理方式應符合法律賦予個人的權利，包括標的存取權（right of subject access ，processed in line with the rights afforded to individuals under the legislation, including the right of subject access）；

(7)組織應採取適當的資料保護技術和措施，防止個人資料遺失或毀壞（kept secure）；

(8)不在未受到適當保護的情況下被移轉到境外的國家（not transferred without adequate protection）。

待續…