個人資料保護

安全輔導、業務輔導、內控輔導

工具選擇

如何落實個資盤點作業與規劃安全管理作業

個資盤點作業是企業面對個資法時的重要整備作業,但個資盤點的重要性除了基本的個資資產分析外,要如何結合安全管理政策及系統面的規範,是企業真正的難題,因為對企業而言,個資管理的目標還是在有效制訂管理政策與降低安全風險。

個資盤點,應由資訊流分析做起 

『個資資訊流分析』是個資盤點的第一步,且應包含業務面及系統面的盤點。業務面包括資料的使用目的、使用期間、資料收集依據、檔案輸出單位以及專責管理人員的調查;系統面包括個資檔案的數量、種類、儲存型態、存放地點、資料夾位置、資料分享人員等。盤點執行時,如果有尚未定義清楚的個資業務及系統資訊,應由業務主管統一律訂,並將該盤點表納入後續稽核的查核項目之一。

資料流分析後,接著要去定義個資的風險等級,風險等級的評估方式請參照另一篇文章[面對個資法,企業主如何評估需投入多少資源?]。風險等級定義後,接著要針對中、 高風險的個資業務制訂相關管理政策與程序要求。

一套完整的個資盤點作業應最少包含『個資資產分析表』、『個資業務流程分析表』、『風險評估表』、『安全控制措施制訂表』等,才能將個資資產的管理、安全風險、控制措施等結合成企業日常運作的基準,徹底強化企業個資管理的體質,才能真正有效降低個資風險。

個資安全管理程序制訂,應結合業務屬性 

個資盤點的重點是分析企業內部既有業務,並明確定義出要管理的業務流程有多少,包括『外部客戶個資業務範圍』與『企業內部個資業務範圍』均需評估,詳細請參考另一篇文章[面對個資法,如何評估遵循範圍?]。

業務範圍不同,需要導入的管理作業也不相同。一般行政管理程序上,比較常見的包括使用『個資簽收單』、『個資檔案調閱申請單』、『個人資料保護及保密協定合約』等文件,是為了確保內部個資的蒐集、處理、利用等程序均符合法律規範,並保有執行紀錄。而系統規範面,包括如『個資檔案加密傳輸』、『個資檔案關鍵字標記』、『個資檔案列印浮水印』等,均是企業常見的作法,目的是為強化個資檔案的安全防護效果。

管理程序的另一重點,企業也應該依照個資法的要求,定期執行個資刪除作業,有效降低個資外洩的風險。個資盤點表的落實執行,相關承辦人員就可以依照資料儲存位置與形式,定期執行刪除作業,並於盤點表註記刪除作業的執行情形。這樣一整套的個資盤點與個資刪除,結合成一致性的工作,並訓練員工執行,會是企業最有效的內部自我管理。