個人資料保護管理系統稽核

1.概述

「稽核」依品質與環境管理系統稽核指導綱要(ISO 19011)的定義為：『系統的、獨立的與文件化的過程（流程）用以獲得證據及對它客觀的評估，以決定稽核準則所達成的程度。』

而對於稽核的實施，又因其主要目的不同，分為內部與外部兩種：

「內部稽核」的重點，由組織內部人員負責稽核，自評確定管理系統符合政府法規要求、國際管理系統標準或組織的承諾，並提供被稽核者改進其管理系統的機會；「外部稽核」的重點，則是由組織外部人員(可能是驗證單位、客戶)負責稽核，為監督組織管理系統有效執行及持續維護，並確認該管理系統符合政府法規要求、國際管理系統標準或組織的承諾。

外部稽核除因各國際管理系統驗證要求需定期執行外，其餘基於客戶或政府之不定期抽查，其方式及時間不固定，故本章主要介紹組織內部定期自我檢查的「內部稽核」方式。

1.1稽核的目的：

判定組織管理系統中的各要項是否符合法規及系統標準之規定。

判定組織管理系統對於達成目標的有效性。

提供被稽核者改進管理系統流程的機會。

能確保組織管理系統各環節能有效在各部門及人員實施及管理系統持續落實改進。

稽核不僅可作為符合法規要求或廠商評估的一種手段，更可透過該措施，達到監督及健全組織個人資料保護管理系統的有效運作，降低發生個資事故的風險，免於面對違法及主管機關裁罰之後果。

2.參考標準

組織須定期依計畫實施內部稽核，俾能驗證組織之個人資料保護管理系統是否符合法規或國際標準之要求，並確定該管理系統之有效性。

組織若欲建置內部稽核管理機制，可以參考三種目前在台灣常見的個人資料保護管理系統及法規中涉及個資「內部稽核」之要求，摘錄如下：

2.1個人資訊管理系統（Data Protection-Specification for a Personal Information Management System, PIMS, BS 10012）的「內部稽核」內容中提到：

『稽核規劃

組織應考量政策要求，規劃、健力和維持稽核方案，以監督和檢討組之處理個人資訊的有效性及效率。

稽核方案應明確包含任何高風險個人資訊之處理，且應包含其他組織執行的個人資訊處理（參照第4.16條）。

稽核員的選擇

組織應選擇適當的稽核員，且稽核員應盡責進行稽核，以確保稽核方案的客觀性及公正性。

備註：規模較大以及處理高風險個人資訊的組織，應考量由外部當事人定期進行稽核。

稽核要求

稽核應在規劃的時間進行，以判定個人資訊管理系統：

a）運作是否符合政策及確立的程序；以及

b）是否已根據技術要求來實行和維持。

在稽核後，如發現個人資訊的處理有任何重大偏離政策及/或確立程序的情況，應將詳述此等情況的稽核報告提供給管理階層。

稽核報告亦應確認可能影響組織遵循政策的技術或流程相關問題。』

2.2臺灣個人資料保護與管理制度（Taiwan Personal Information Protection and Administration System, TPIPAS）的「8.內部評量」內容中提到：

『事業每年應依其特性規劃執行內部評量，以瞭解個人資料管理制度是否符合下列要求：

(1)符合法規及本制度之要求。

(2)符合個人資料保護管理政策、手冊及相關具體規則之要求。

事業應規劃內部評量方式及流程，以決定內部評量之準則、範圍、頻率及方法。

事業應將內部評量之規劃、執行、報告、改善、追蹤等事項製作書面之內部評量報告。

內部評量應由具備個人資料內評師或個人資料驗證師資格執行，並由其出具內部評量報告。』

2.3個人資料保護法：

個資法施行細則第12條安全維護措施第2項第9款提及，組織應採取『資料安全稽核機制』，以防止個人資料被竊取、竄改、毀損、滅失或洩漏。

3.內部稽核規劃

「內部稽核」須按組織個人資料保護管理系統之活動狀況及重要性為基礎而排列進度，被稽核的區域及過往的內部稽核結果亦應列入考慮，並做成完整之計劃後據此執行，內部稽核流程如下圖：

擬定稽核計劃或方案

執行稽核

檢討稽核結果

跟催稽核矯正行動

納入管理審查

圖一、內部稽核流程