精誠資訊導BS 10012，建立個資保護制度

我們每天收到的各種電信或金融帳單，都有不同的個人資料在上面，如果，負責列印帳單公司發生個資外洩時，受害人數難以估計。精誠資訊資料管理整合服務事業部負責列印多家臺灣金融機構和電信公司帳單，每個月列印帳單超過3,000萬張。

精誠資訊總經理林隆奮表示，該部門負責列印許多金融和電信業的帳單，就是分攤相關行業在個人資料蒐集、處理和利用的「個資處理」環節。因為責任重大，該部門多年前已陸續取得ISO 27001資安認證和BS 25999持續營運管理認證。

精誠資訊資料管理整合服務事業部資訊安全處協理傅念安指出，所有產業別一體適用新版個資法，除了電子資料外，紙本資料也納入規範；一旦違反新版個資法，罰則提高上限2億元，負責人需負擔連帶責任。這都使得企業因應新版個資法時，顯得戒慎恐懼。

在新版個資法公布後，精誠資訊開始找尋因應之道，後來決定導入由英國BSI制定的BS 10012個資保護管理規範，來因應新版個資法。

 作法1  高階主管支持是第一要務

傅念安表示，精誠資訊決定導入BS 10012，並不是認為導入該制度就萬無一失，而是透過P（規畫）、D（執行）、C（查核）、A（矯正）循環的個人資料管理制度，將可能衝擊到客戶和員工個人資料的流程都納入控管，並符合新版個資法規範。

要導入各種驗證或標準，由上而下才能達到風行草偃的效果。精誠資訊資料管理整合服務事業部資訊安全處資深技術處長林柑妙表示，導入BS 10012要投入的人力、物力和金錢不在少數，甚至為了落實個資保護，還必須調整許多作業流程。

她說：「若沒有高階主管全力支持，BS 10012個資管理制度的推動，不可能這麼順利。」在公司組織上，傅念安認為，一定要有專人負責，例如，有推動BS 10012個資管理制度相對應的組織出現，都是由上而下的支持表徵。

先前精誠資訊為了取得2張資訊安全及營運持續相關認證，已經設立了相對應的工作小組，面對新導入的個資管理制度，精誠資訊趁機調整該小組成具備個資管理推動功能。

傅念安表示，總公司下設個資保護管理委員會，由「資料管理整合服務事業部副總經理葉振民」擔任召集人，個資保護管理委員會委員來自「各部門主管」，還有各部門「個資保護種子成員」及「個資聯絡窗口」。為了執行個資保護跨部門的溝通、協調，以及召集定期或不定期會議等事宜，便委由「資訊安全處」擔任個資保護管理委員會執行秘書一職。

林柑妙補充表示，身為個資保護管理委員會一員，必須在各部門間協調業務流程，推動者要能夠苦口婆心提醒每個人，讓這樣角色發揮最大功能。

 作法2  用教育訓練為員工洗腦，讓個資保護成反射動作

和過去導入其他認證相比，精誠資訊資料管理整合服務事業部技術經理袁錦輝表示，BS 10012以「遵法性」為前提，所有制度最終必須符合新版個資法及施行細則，和目的事業主管機關制定的法定規範等。

以法規遵循為前提，整個制度的規畫和落實，稍有不慎，都有違法之虞，這也是對企業營運最致命的打擊。袁錦輝指出，要將個資保護融入到每個同仁的日常工作流程，必須讓「個資保護」意識，深入每位同仁的潛意識，成為一種本能的反射動作。

所以，精誠召開導入BS 10012個資保護管理制度啟動會議的第二天，就展開第一場提升員工個資保護意識的教育訓練課程。

袁錦輝說，依照受影響程度以及承擔工作內容不同，針對高階主管、個資種子成員以及一般員工等，有不同次數的教育訓練課程。

精誠資訊資料管理整合服務事業部花費11個月，完成相關制度規範與落實。精誠資訊資料管理整合服務事業部電子化服務處諮詢顧問王泓文表示，這11個月裡，先後共舉辦33場教育訓練課程，對象以該部門全體130多名員工為主，也納入內湖總公司同仁。

但他說，該部門列印的帳單最終以紙本形式呈現，負責該部門清潔、運送、維修等委外廠商，都納入個資保護教育訓練範圍內，相關同仁必須簽署保密協定，確保提供委外服務的人員，同樣意識到個資保護的重要性。

 作法3  先從完成4階段文件著手

袁錦輝說，導入一套標準時，依照公司部門營運的策略目標，透過成立個人資料管理組織，做好相關風險評估與安全控管，這一切都必須有憑有據。

他認為：「剛開始導入BS 10012所需的專案規畫及文件，必須列為剛開始就必須完成的重要事項。」也就是說，從規畫、執行、監督查核到矯正每一個階段所需的各種資料，必須一開始就做好文件化的工作。

王泓文表示，落實4階文件就是就好的導入起點。所謂的4階文件是每一個階段按照不同目的，所製作不同詳細程度的文件。

1階文件從願景目標而來，通常是定義範圍、目標及定義測量標準，往往都是提綱挈領的大原則或政策聲明等；2階文件是一般常說的「標準」，制定可以遵行的規範原則；3階文件屬於「細則」或「程序」，規範比標準詳細且可執行，可據此落實相關標準。至於4階文件，「簡單的說，就是可直接使用的表單工具。」他說。

林柑妙說：「文件化需要花很多心思統整和製作，但也因為文件齊備、成形，能慢慢摸索出接下來的工作進度與重點。」她坦言，該部門先前曾通過ISO 9000、ISO 27001、BS 25999認證，如何將不同認證之間、相似度高的文件彙整在一起，是這個文件化過程中最辛苦的事情。

以個資保護管理制度相關表單為例，林柑妙說，光是1階文件就包括管理手冊和個人資料管理政策聲明；2階文件囊括個人資料蒐集、處理及利用作業標準，當事人權利行使與申訴抱怨處理作業標準等10項文件；3階文件包括個人資料蒐集、處理及利用作業程序及當事人權利行使作業程序等13項文件。

一般而言，4階文件通常是數量最多的表單，例如，徵求當事人同意的「個人資料使用書面同意書」，或者是個資使用必須符合特定目的的利用，要逾越特定目的時，必須讓當事人填寫「特定目的新增異動申請表」，總計有15項表單。林柑妙指出，這4階文件可用來滿足從執行、查核到矯正的需求，再依實際狀況，新增或減少相關文件數量。

 作法4  進行隱私權衝擊分析

BS 10012的目的是為了遵守新版個資法規定，企業必須先進行隱私權衝擊分析（PIA）。袁錦輝表示，PIA的目的是為了釐清企業遵守個資法和相關法律時，可能對企業帶來的風險；其次，將企業內所有個資蒐集、處理、利用、國際傳輸甚至是銷毀等科技環境進行風險評估，確認環境的風險，進行相對應的控管。

袁錦輝表示，PIA是企業對於個資法法規遵循程度的差異分析，精誠資訊資料管理整合服務事業部便針對10大領域：保護標的、預防損害原則、告知原則、蒐集原則、利用原則、當事人自主、完整性原則、安全管理原則、委託機關管理機制和跨界傳輸控管機制，進行隱私權衝擊分析。

他說，衝擊分析會釐清公司現況為何及後續改進目標，只要知道哪些項目是公司還沒做到的，就可以列後續追蹤計畫。因為透過這種法規對企業造成的衝擊分析，才能進一步掌握在法規遵循上的不足之處及因應之道。

 作法5  進行個資盤點

個資盤點是所有執行BS 10012個資保護管理制度中，耗時最久的一個環節，王泓文說：「光是個資盤點就用了4個月。」要進行個資盤點時，要先確定個資形式，除了數位資料、數位錄音和數位影像等電子資料外，紙本文件也必須納入控管。王泓文表示，判斷出需要控管的個資形式後，依照公司業務流程以了解個資在各部門傳遞的流程。

以精誠資訊資料管理整合服務事業部為例，需求接單、文件製稿、開發設計、資料轉檔、物料需求、入出庫管理、檔案列印和機器成品裝封等8大業務流程，是該部門定義出來的關鍵業務流程。王泓文表示，定義出關鍵業務流程後，就得依照個資法規定的個資蒐集、處理、利用和國際傳輸等過程，追蹤公司內的個資如何流經每一個部門。

林柑妙表示，依照個資使用過程、追蹤企業個資流經哪些業務流程後，會產出一份個人資料檔案清冊，依照每個部門的每個人，對每一個流經該業務流程的個人資料，註明是屬於個資蒐集、處理、利用和國際傳輸等個資生命周期的哪一個環節，載明該個資來源、蒐集管道、檔案形式，最終會以何種方式存放在企業內，及是否有進行國際傳輸等。

「因為個資盤點攸關企業對於分散在該企業個資的掌握度，即便過程多繁瑣複雜，都必須要一步一腳印完成它。」她說。

 作法6  進行風險評估

分散企業各部門並流經企業關鍵業務流程內的每一筆個資，並不具有同樣的重要性，王泓文坦言，企業在評估要對流經企業各部門的個資，投注多少資源進行保護措施的關鍵是要承擔多少風險。他說，這是一個尋求投入個資防護資源和承受個資外洩風險的平衡。

要做風險評估前，首先需要將資訊資產和個人資產做分類和分群組，資產的分類可以分成管理體系和資訊資產，資訊資產又可以分成人員、硬體、軟體和資料文件等4類；又可以針對上述4類資訊資產進行群組分類，例如人員這個資訊資產類別，又可以分成內部人員和和外部廠商等2個群組類別。

袁錦輝說，做風險評估除了要判斷風險為何外，更重要的目的在於能針對高風險項目，產出一份「風險改善計畫」，除了風險事項、威脅類別、風險值外，也必須列出風險改善計畫的負責人是誰、預計完成和實際完成日期，以及改善後的風險下降狀況與風險值等。

 作法7  落實查核與持續改善

傅念安表示，在PIMS監督與查核的過程中，成立「個人資料稽核小組」，定期實施個人資料內部稽核以確保相關制度落實。

除了內部和外部的定期稽核外，林柑妙說，每個月都還會由每個部門填寫自評表，透過自評表搭配公司稽核程序，找出個資保護上被疏忽的環節。

傅念安指出，目前精誠資訊資料管理整合服務事業部規定，每半年都要重新進行一次隱私權衝擊分析（PIA）、個資盤點和風險評估（RA），有了原本BS 10012的基礎，每半年的重新評估不會花太多時間，但是，「定期重新審視個資的蒐集、處理和利用，可以讓個資保護落實在同仁的工作流程中。」他說，根據監督查核的結果和建議，可以實施矯正與預防措施，落實個資保護管理制度的運作有效性。

王泓文認為，新版個資法舉證責任倒置的原則，一旦有個資外洩事宜，企業必須要能夠證明自己無故意或過失責任，才可以獲得法官的從輕量刑，相關的賠償才可能減少。

因此，他表示，對精誠資訊資料管理整合服務事業部而言，BS 10012就是一套環環相扣、有系統化的方法，可以建立一整套有效的個資保護管理制度，也可以用來證明公司到底做了些個資保護的作為，並留有相關的記錄可供查詢、參考。

精誠資訊導入BS 10012，落實4階文件的製作，是導入標準的起點。

相關報導請參考「個資法不只是IT部門的事」