個人資料保護

安全輔導、業務輔導、內控輔導

制定個資管理規範

個資小組、個資業務分析與檔案盤點篇

個資法正式上路後,各事業目的主管機關持續頒佈行政命令,要求所屬產業,應儘速完成個資管理規範,並善盡個資安全防護。目前包括公平會針對直銷產業、勞委會針對人力仲介產業、內政部針對不動產經紀業者等,都已經函文明確的管理規範以及辦理期限要求,算是個資法上路後的一大進步,也是台灣整體產業遵循個資法的一大指標。

而企業如果接受到所屬目的事業主管機關、所屬產業公會、協會的通知,要求在一定期限內辦理個資安全維護計畫及管理制度,企業到底該如何做起,筆者建議初步的準備工作主要為:

  1. 建立個資小組
  2. 進行跨部門個資業務分析
  3. 執行電腦端個資檔案盤點作業

制訂『個人資料檔案安全維護計畫』等同是幫企業建立個資管理制度,制度的建立首要任務便是確認專責管理組織。一般企業在建置這樣的個資管理組織時,會選定一位副總以上層級的主管擔任召集人,接著選定個資含量比較重要的部門主管為管理委員,例如人資部門、業務部門、行銷部門、股務管理部門、資訊部門等。當然,一定要指定一個統籌專案的核心單位,負責專案管理、會議通知、內部協調、管理制度彙整等,而實務上最常指定的單位是資訊部門,其次可能選擇稽核單位、法務單位、管理處等來擔任專案管理單位。

依據企業內部文件制訂個資管理組織後,下一個基礎整備工作為召開跨部門會議,進行全公司的個資業務分析,個資業務分析後,才可明確的定義出到底個資業務有多少、個資如何蒐集、個資業務目的為何、個資如何使用、個資如何輸出,對企業整體的個資資訊流有基礎評估後,後續才可能制訂出符合企業內部的個資管理規範,也才可能針對企業的個資風險問題做處理。

個資業務分析後,一般會產出『個資業務盤點表』,接下來就是進行系統端的個資檔案檢查,去確認電腦上所儲存的個資檔案是否與盤點表相容。而坊間也有許多免費的個資盤點工具可以使用,包括『中華民國資料保護協會』就有提供免費工具下載。針對電腦上的個資檔案,利用系統化工具去檢查,是一個較為完善的方式去確認個資風險,以避免電腦上存有過多的高風險個資檔案,造成個資外洩的隱憂。