為達成個人資料管理責任的可歸責性,當受委託機構處理或利用的個人資料發生外洩時,
法律責任仍由委託機構承擔。本控制領域的目的,在於協助委託機構,透過受委託機構的篩選、
明訂管理責任分配的合約及保留作業稽核權利等制度設計,有效管理受委託機構及作業委託衍 生的風險,遵循個人資料保護法律及良好實務。相關控制措施亦可參考本標準附錄 A,選用適 當的安全控制措施。
本章節主要的內容可參照下表:
規範 附錄 A
個資法
B.12 委外管理 A.15 細§8
控制目標 B.12.1 個人資料作業委外管理 A.15 細§8
控制項
B.12.1.1 (I/P)
委外管理程 序
篩選及管理委外機構 A.15.1
A.15.2
細§8
B.12.1.2 (I/P)
委外協議要 項
於協議載明委外要求,以管理委外機構 A.15.1 細§8
實作指引
(一) 個人資料作業委外管理(B.12.1) 1. 委外管理程序(B.12.1.1)
個人資料委外管理應依據「附錄 A 資訊安全管理規範」中控制領域 A.15 供應者 關係之所有控制項要求進行,其內容應包含個人資料安全管理要求,並符合個人 資料保護法施行細則第十二條安全維護事項之要求。
當個人資料委託其他單位進行處理前,應:
(1) 執行受委託機構評選,僅選擇可達成科技面、實體面及組織面安全要求的機 構進行合作;
(2) 與受委託機構簽訂委託管理協議,其內容應包含 B.12.1.2 委託協議要項與「附 錄 A 資訊安全管理規範」A.15 供應者關係中資訊安全要求事項;
(3) 需要時,如委託處理大量或特種個人資料,得考量於正式交付個人資料前,
進行執行實地稽核。
2. 委託協議要項(B.12.1.2)
應依個人資料保護法施行細則第八條規定對受託者為適當之監督,並明確約定相 關監督事項及方式。
委託協議內容應至少包含以下要求:
(1) 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。
(2) 受委託機關的保密及安全管理責任,及安全事故責任歸屬;
(3) 委託機構得對其作業流程及安全控制措施進行稽核;
(4) 是否被允許分包個人資料處理作業;如允許分包,分包機構應至少執行與委 託協議同等的安全控制措施;
(5) 受託機構或其受僱人違反本法、其他個人資料保護法律或其法規命令時,應 向委託機構通知之事項及採行之補救措施。
(6) 委託機構如對受託者有保留指示者,其保留指示之事項。
(7) 委託關係終止或解除時,個人資料載體之返還,及受委託機構履行委託契約 以儲存方式而持有之個人資料之刪除。
(8) 其他我國個人資料保護法律要求的要項。
附件 1 附錄 B 個人資料控制措施與各項標準對照表
個人資料控制措施 規範
附錄 A
個資法 BS10012 :2009
ISO29100 :2011
控制目標
控制目標 B.7.1 適當性相關且不過度 4.9 5.5
B.10.1.2