[觀點] 制訂個人資料檔案安全維護計畫

之前，我們談到了個人隱私衝擊分析，其主要目的是要了解組織針對個人資料蒐集、處理、利用的現況，能夠幫助我們針對屬於高風險的個人資料，提出適當的保護計畫與安全措施，本文將說明如何制訂個人資料檔案安全維護計畫。

在個資法第27條提到，「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法」。

換句話說，未來保有個人資料的企業、組織或團體，都可能要針對個人資料提出一份檔案安全的維護計畫，在這份計畫之中，除了可說明個人資料的保護措施和管理方法之外，萬一未來發生個人資料外洩的事件，這份計畫以及實施的相關記錄，很可能是作為組織已善盡管理人義務，用來免除過失賠償責任的重要證據之一。

當然，這份計劃的最終內容要求，仍須以中央目的事業主管機關所公布的為主，但是凡事有備則無患，我們可以參照過去針對金融業、保險業及證券暨期貨業所公布的個人資料檔案安全維護計畫標準，來制訂適合自己組織的內容，並依據這份計畫來加強個人資料的保護與管理。

確認個人資料保護範圍

在制訂個人資料檔案安全維護計畫之前，首先要確認的就是我們所要保護的範圍，畢竟組織的資源有限，我們不太可能一開始就投入龐大資源來實施全面性的安全防護，而是要先了解現況並定出範圍，這也是管理系統導入的重要步驟。

以資訊安全管理系統來說，範圍通常會鎖定在重要的業務流程與資訊系統，像是醫院的醫療資訊系統、製造業的研發生產管理系統、資訊服務業的客戶服務系統等。至於保護的對象則是資訊資產，一般會先將它進行分類，例如分成人員、資料、軟體、硬體及服務等，再依據資訊處理的作業流程去盤點所有資訊資產，分析其可能存在的安全風險，依照其風險高低進行排序，然後再選擇適當的控制措施來進行風險處理，將風險降低至可接受的程度。

所以，若今天導入的是個人資訊管理系統的話，我們鎖定的保護對象就是個人資料，範圍也會是和個人資料有關的業務流程。只是，個人資料涵蓋的範圍甚廣，對許多組織而言，不太容易一下子就區分並識別完成，建議可採取以下兩種方式來進行。

• 從個人資料本身著手 - 首先定義常見的個人資料類別，例如員工資料、客戶資料、廠商資料等，或是個人資料的細項，例如連絡資料、薪資資料、付款資料等，然後調查這些資料是透過哪些方式來蒐集和處理。例如個人資料可能是以電腦輸入、網站蒐集等自動化機器產生，或是透過人工紙本記錄等非自動化方式來獲得，在完成確認之後，這些和個人資料有關的活動與流程，就會是個人資料保護的範圍。

• 從業務作業流程著手 - 這個方法和上述的方法順序相反，也就是先從和個人資料有關的活動流程著手，了解組織透過哪些自動化和非自動化方式蒐集和處理資料，再來確認這些資料內容是否包含了個人資料，如果有的話，就要將這些流程和系統劃為個人資料保護的範圍之內。

個資檔案安全維護計畫內容

在確認個人資料的保護範圍之後，接下來就要針對這些個人資料檔案來制訂保護計畫，無論您所屬的行業類別或營運規模大小，在這些計畫之中，建議您務必要納入以下的事項。

1. 指定專人管理 - 針對組織所持有的個人資料檔案，說明由誰來負責辦理安全維護事項，至少應指定一位專人來防止個人資料受到不當的侵害。這位個資管理代表需要有能力可以協調各個事業單位，以擬定出適當可行的個人資料的管理辦法，也就是說，需要對於資訊安全，無論在管理面、技術面、教育面都要有一定的認知，最好選擇已接受過資安專業訓練並持有相關的資訊安全證照的人選為佳。


2. 建立稽核制度 - 應說明組織是否已建立了個人資料檔案的稽核制度，像是稽核人員應具有哪些能力、依據何種稽核標準、多久實施一次內部稽核，針對稽核結果是否定期召開管理審查會議，如何進行缺失的矯正和預防。


3. 確保系統安全 - 說明存取個資系統的人員，是否具備唯一的識別碼(ID)，針對不同的職務角色，是否完成權限控管；存取個人資料的相關作業，像是個人資料的新增、異動、刪除、傳輸，是否留有記錄(Log)；應用系統程式的開發是否遵照安全的開發流程，上線前是否經過適當的安全審核程序等。


4. 強化實體安全 - 和個資有關的資訊設備，若存放於電腦機房，應說明機房的門禁管理辦法，針對主機和儲存媒體，是否有良好的安全防護措施，例如場所已作好天然災害和意外災害的防護、備份媒體以防火或上鎖設備異地存放。


5. 災害防護演練 - 萬一發生天然災害或個資損害事件，是否有個資事件應變處理作業辦法，內容應包括如何進行損害控制、系統備援、災害復原和通知當事人等，並定期實施模擬演練。若是人為惡意的損害，是否有保存證據、要求損害賠償的措施。


6. 員工作業安全 - 在計畫中應說明和個資有關的作業人員，是否要求簽署保密切結書，針對個資作業的內容，是否已說明個資法相關的安全規定，在資訊安全防護方面，是否定期實施教育訓練等。

與資訊安全管理系統作結合

完成個人資料檔案安全維護計畫，只是個資防護的初步工作，重點還是在於能否依照這個計畫切實地來執行。根據個人的了解，個資法中所提到針對個資應採行適當的安全措施，不可單單只解讀為已採行相關的技術防護手段，或是添購了資訊安全產品，就可在個資損害事件中證明自己沒有過失責任，而是必須要納入管理系統中所謂的PDCA(Plan-Do-Check-Act)精神，讓個資防護在完整的管理制度之下，能夠實施運作，並且持續改善。

因此，如果組織已導入了資訊安全管理系統(ISMS)，它就可以提供在個人資料防護的重要基礎，只是在個人隱私防護方面，還需要再進行重點補強，礙於篇幅有限，只說明以下重點項目供作參考，包括：將個資保護納入資安政策、建立個人資料清冊、進行個資風險評鑑、選擇適當控制措施、定期進行個資稽核、持續檢討維護改進等。若能與現有的資安管理系統作結合，相信在個資防護方面，也就不必重頭再來，將可達到事半功倍的效果。

組織應自我檢視的個資問題

雖然個資法的施行細則尚在修訂之中，正式實施的日期也還未確認，但是從個資母法來看，它很明確地要求二件事 – 「個人隱私維護」和「個人資料保護」，讓很多事項已如箭在弦上，無論是公務機關或非公務機關，未來勢必都要依法實行，所以為了因應法規所帶來的風險，建議組織應該自我檢視以下問題：

• 您(組織)知不知道個資法的要求？
• 您(組織)是否已經指定專人負責個資事項？
• 組織負責個資蒐集、處理及利用的同仁，是否已具備必要的知識與技能？
• 您(組織)是否知道如何保護所持有的個人資料？
• 您(組織)是否有適當的程序，以符合告知的要求？
• 您(組織)是否有適當的程序，對持有的個人資料提供當事人請求和維護？

如果有任何一項問題，組織無法明確地加以回應，建議應及早尋求外部專家或顧問的協助，以因應未來個資法正式實施之後可能帶來的衝擊。(本文刊載於2010年9月號網管人雜誌)