KPMG：因應GDPR，臺灣高科技業者應客戶要求也動起來

歐盟最嚴格個資保護法GDPR（歐盟通用資料保護規則）即將於今年5月25日正式實施，KPMG（安侯建業）資訊科技諮詢服務執行副總經理謝昀澤觀察，今年開始，除了原本有歐洲分行的金融業者外，臺灣高科技製造業者、物聯網產品的元件、產品或服務的供應商，也受到來自各自客戶的壓力，基於供應鏈安全的關係，要求臺灣業者必須符合歐盟GDPR對於個資保護的規範，臺灣企業才連帶地開始加速GDPR的因應。

他解釋，半年前，臺灣企業對於因應GDPR態度相對冷漠、無感，甚至認為只要沒有跟歐洲做生意或者是在歐洲有分公司或子公司，GDPR並不會影響到臺灣企業，直到最近迫在眉睫了，臺灣企業才開始有動作。

企業執行資料保護衝擊評估是第一優先

不過，謝昀澤認為，該做的事情還是一樣，不能因為時間接近而不做，甚至是，即便已經過了正式施行的時間，只能加速腳步，把該做的事情做完。

他表示，第一件事情要做的就是資料保護衝擊評估（DPIA），仔細盤點企業所擁有的個人資料有哪些，從資料收集的流程開始，是否符合相關規定，且評估是否有其他的風險；其次，必須要評估是否有設立資料保護官（DPO）的必要性，以及這個資料保護官是要由誰擔任甚至是集團指派單一資料保護官或是委外等，都是必須深入思考的選項。

最後，其實也是許多企業目前有最多疑問的部份，那就是，是否有一套所謂的標準規範或驗證機制，可以協助企業迎戰GDPR？而許多企業原本就已經取得的資安或者是個資保護的認證機制，是否還持續有效呢？

年底前，ISO與BS認證都可協助因應GDPR，明年建議以ISO PIMS為主

短期內，至少到2018年底，謝昀澤表示，企業目前所取得的認證，不論是可以取得認證的ISO 29151（個資保護控制）、ISO 29134（隱私衝擊分析）、ISO 27001（資訊安全管理）針對雲端服務的認證ISO 27017、IS 27018，或者是英國推出的BS 10012（個資保護認證），甚至是無法取得認證的ISO 29100（隱私權框架）等，都應該可以從隱私衝擊分析到風險評鑑，協助企業做好個資相關的保護。

他強調，即便GDPR即將在5月25日正式實施，但這個法還有其他許多配套法律，還在慢慢的對外公布中，可以確定是，2018年底前，目前的認證應該都可以扮演協助企業，從各種角度符合GDPR規範，包括已經進行BS 10012： 2017年新版驗證企業，可持續依據標準內容持續落實，並參考ISO 29134與ISO 29151標準，強化DPIA（隱私衝擊分析）與個資保護控制措施。

但謝昀澤表示，以KPMG對於客戶隱私保護驗證的規畫與建議，2019年之後，就會建議企業可以無縫接軌到ISO PIMS系列的認證，「KPMG預測根基於ISO 27001資安標準上之ISO 27552標準，配合ISO 各項個資參考指引（以上合稱ISO PIMS），將為未來驗證主流。」包括即將公布、在ISMS基礎上延伸擴充管理制度，以實施適當資安控制措施以保護個資的ISO 27552，和ISO 27001系列，以及針對雲端服務業者的ISO 27017等認證。

KPMG資訊科技諮詢服務執行副總經理謝昀澤表示，預計到2019年，要因應GDPR個資保護的規範，都可以考慮採用ISO PIMS的相關標準。。