國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
15
符合政策與標準要求的事項,應進行矯正的行動,以將資安風險降至最低。
2.2. 個資保護管理系統-PIMS
2.2.1. 個人資料保護法
我國於民國 84 年 8 月 11 日公布施行「電腦處理個人資料保護法」,此法係參照 OECD 隱私網領的保護資料 8 大基本原則所制定,其立法目的在於避免人格權受侵害及促進資 料之合理利用。隨著時代變遷,陸續納入其他與「電腦處理」個人資料相關之非公務機 關行業,然而原法規已諸多不合時宜,又缺乏管理及稽核層面足夠的配套措施,因此,
法務部為加強保護個人資料之隱私性,並促進資料之合理運用及與國際接軌,自民國 90 年起廣徵各界意見及蒐集國外相關法例,並採認 APEC 隱私保護綱領九大原則,研擬 完成修法,並將新法更名為「個人資料保護法」,於 99 年 4 月 27 日於立法院三讀通 過,於 99 年 5 月 26 日以總統令公布。另法務部於 101 年 9 月 26 日依「個人資料保 護法」第五十五條規定訂定「個人資料保護法施行細則」,於 101 年 10 月 1 日正式施 行[5]。
2.2.2. 個資保護管理系統
本研究泛指的 PIMS(Personal Information Management System,PIMS)為廣義針對 個資保護的具體管理系統的作法,非專指英國隱私標準 BS 10012:2009 Standard 條文中 的 PIMS,在本研究利用現有 BS 10012 的管理框架來介紹,運用 PDCA 循環模式(如 圖 2-2)來建立維護個人資訊管理系統(PIMS),讓各組織能維持和改善對資料保護法 律及優良實踐的遵循。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
16
圖 2-2:PDCA 過程模式運用於個人資訊管理系統 資料來源:BS 10012:2009 Standard
PDCA 在個人資訊管理系統所代表的含意如下:
(1) Plan-規劃建置 PIMS:組織必須定義個人資訊管理的範圍和目標,並判斷內 部有哪些資料屬於個人資訊,以制訂適合組織運作的個人資訊管理政策。
(2) Do-實作與運作 PIMS:確保組織已指派適當的負責人選推動並執行個人資訊 管理制度,並透過各個單位負責代表的協助,進行個人資訊的風險評鑑,以評 估目前組織所擁有及處理個人資訊的風險等級。此外,要求組織對員工實施教 育訓練,確保個人資訊被公平且合法的處理使用,以及採取適當的資訊安全控 制措施,皆為此階段的重點工作。
(3) Check-監督與審查 PIMS:組織除了必須制定稽核計畫,選擇合適的稽核人 員依照政策與管理要求定期實施稽核作業外,還須定期舉行管理階層審查會議,
了解個資處理的過程是否有任何的變動,並審查稽核後的結果。而對於是否發 生和個資相關的資安事件亦應加以了解,以掌握組織推動個資的現況,並適時 修訂個資管理政策。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
17
(4) Action-維持與改善 PIMS:組織應針對可能違反法規的事件,事先實施預防 的行動,並評估可能造成的問題,採取必要的預防措施;其次則是針對管理階 層審查的結果,針對不符合政策與標準要求的事項,進行矯正的行動,以求將 個資管理不當的風險降至最低。
2.2.3. 相關個資保護作法
BS10012:英國標準協會(BSI)於 2009 年 6 月公告 BS 10012 個人資訊管理標 準。BS 10012 的全名為「資料保護-個人資訊管理系統之要求」(Data protection–
Specification for a personal information management system),本標準具體說明了對個人資 訊管理系統(Personal Information Management System,PIMS)的各項要求。根據 BS 10012 的規範,不論是國家或企業組織,都應該有一個專責的個資管理單位,負責個資 的收集、使用、傳遞、銷毀和保存。且不論是國家或組織,都應該要事先定義出一份「個 資類別清單」,清楚定義哪些是單位內所收集的個資範圍,釐清並界定哪些資料該被保 護,以及各種個人資料被保護的層級,並對各資訊流清楚掌握,以設置各個控管機制來 管控個人資料出入口,為個資保護的框架。BS 10012 的 8 大資料保護原則如下:
(1) 受到公平合法的處理。
(2) 僅限核於特定目的之取得,且不會進行不符合特定目的之後續處理。
(3) 適當、相關且不過度。
(4) 正確且最新。
(5) 保存期限不超過必要期限。
(6) 依據法律授與個人權利進行處理,包含標的存取權 。 (7) 確保安全。
(8) 不會在未受到適當保護的情況下,被移轉到歐洲經濟區以外的國家。
BS 10012 標準共有 7 章,第 0~2 章為標準介紹及適用範圍與名詞定義之說明,
‧
個人資訊管理系統 Personal information management system 資料保護原則 Data protection principles
告知 Notification 1 範圍 Scope 2
2.1 2.2
名詞、定義與縮寫 Terms, definitions and abbreviations 名詞與定義 Terms and definitions
縮寫 Abbreviations 3
規劃個人資訊管理系統(PIMS)Planning for a personal information(PIMS)
個人資訊管理系統的建立與管理 Establishing and managing the PIMS 個人資訊管理系統的範圍與目標 Scope and objectives of the PIMS 個人資訊管理政策 Personal information management policy
政策內容 Policy content
職責與責任承擔 Responsibility and accountability 資源提供 Provision of resources
將 PIMS 深植於組織文化 Embedding the PIMS in the organization’s culture
4 4.1
實行與運作個人資訊管理系統(Implementing and operating the PIMS)
重要人員之指派 Key appointments
‧
識別並記錄個人資訊的用途 Identifying and recording uses of personal information
適當、相關且不過度 Adequate, relevant and not excessive 正確 Accuracy
保留與處置 Retention and disposal 個人的權利 Individuals ’rights 安全議題 Security issues
將個人資訊移轉到國(境)外的地方 Transfer of personal information outside the EEA
對第三方揭露資訊 Disclosure to third parties
監督與審查個人資訊管理系統(Monitoring and reviewing the PIMS)
內部稽核 Internal Audit
管理階層審查 Management review
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
20
編號 條文大網
6 6.1 6.2
改善個人資訊管理系統 Improving the PIMS 預防與矯正措施 Preventive and corrective actions 持續改善 Continual improvement
資料來源:BS 10012:2009 Standard
‧
TPIPAS:台灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System;TPIPAS)緣起於經濟部商業司委託財團法人資訊工業策進會,
執行「電子商務個人資料管理制度推動計畫」,規劃並推動「臺灣個人資料保護與管理 Information Protection and Administration System, TPIPAS)(以下稱「本制度規範」)是使事業以「PDCA 方法 論」,建立一套將個人資料保護與事業營運連結之系統化 Privacy Protection Mark, DP Mark)之依據。
0.4 PDCA 方法論 本 制 度 規 範 之 架 構 以 「 計 畫 - 執 行 - 檢 查 - 行 動 (Plan-Do-Check-Act),PDCA 方法論」為基礎。說明如下:
(1)計畫:建立個人資料保護管理政策、目標及相關程序。
‧
‧
‧
‧
‧
‧
‧
‧
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
31
ISO27001);個人資料相關法制規範主要係維護個人對於其資料的資訊自主,仍需要資 訊系統安全之協助。
但現有資訊安全管理系統,並不完全符合遵循我國個資法之要求,透過本研究將 ISMS 與 PIMS 整合,是較全面性的作法,也可以較低資安與個資管理制度導入成本。