領導力企業管理顧問有限公司

大家都很好奇，為何導入ISO 27001會是「個資法」的解決方案之一？到底什麼是ISO 27001？什麼又是BS 10012？光是要理解個資法已經夠頭痛了，還要搞懂這些系統真是傷腦筋。自從去年10月個資法實施以來，已經接獲近百位客戶的諮詢電話。在此很快的為大家彙整個資法常見問題。以下用最淺顯易懂的說明，讓大家釐清重大觀念。

問題：聽說寄EDM會被告？而且會被求償二年以下有期徒刑。
回答：
個資法第41 條規定：違反第19條…處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。意圖營利者，處五年以下有期徒刑，得併科新臺幣100萬元以下罰金。
 
以上條文用白話文來說就是，現在規定寄EDM給客戶時，必須證明「消費者曾以書面同意願意收EDM」、「取得消費者的郵件地址的方式是他自行公開的」、或是有其他各款所規定的情形。如果企業證明不出來，就要被判刑二年以下有期徒刑。並且，企業發的EDM如果是推銷商品的話就罪加一等，要判刑五年以下有期徒刑。
 
所以，其實不是說個資法施行不能發EDM，而是現在要加一些程序。例如假設辦一個抽獎活動來蒐集潛在客戶名單時，要有一個欄位讓他勾選「我同意未來收到EDM。
 
問題：承接上一題所說，只要消費者書面同意就可免責。但是以往留下資料的客戶怎麼辦？現在根本不可能回頭要求他同意！
回答：
個資法第54 條：本法修正施行前非由當事人提供之個人資料…應自本法修正施行之日起一年內完成告知…。
 
簡單來說，個資法給你一年的緩衝期。因為實際的狀況就是，許多擁有大量個資的企業，如銀行、電信公司紛紛反應，要在1年內完成過去間接取得個資的補告知，不只是要投入龐大的成本，甚至根本會來不及在時限內完成。
 
距離個資法在2012年10月1日公布實施，也就是說今年10月以前要全部取得他們同意。業界常用的作法可能是舉辦「會員回娘家」之類的活動，提供一些誘因例如銀行業可贈送紅利點數、電信業可贈送通話時數…，但前提是老會員如果要參加這項活動，就一定要勾選同意願意收到Edm電話行銷。詳細作法則可以由顧問師到時候跟各部門會談。
 
問題：一定要顧客用手簽名，才算是盡到告知的義務嗎？這樣也太繁瑣了吧。
回答：
 
個資法第8條：公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時，應明確告知當事人下列事項：一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式...。
 
用白話來說，新版個資法實施後，你使用顧客資料就要跟他「說清楚、講明白」用途，包括未來寄EDM、電話行銷、直銷…。然後這個過程必須要被記錄起來，而且個資法也沒有硬性規定一定要顧客當面簽名畫押才算，要用電子郵件、線上表單或電話錄音…等形式通通都可以。
 
在此特別提醒，告知義務是新版個資法的重要觀念。整套個資法就是要企業做好一件事－那就是你使用顧客資料時，要事先告訴他，然後經過他同意。其實就這樣而已。
 
因此，整套各個資法就是濃縮九個字，「告訴他、他同意、留證據」。完成！並且留意如何能證明企業蒐集資料時無故意或過失？並且已經採行適當之安全施？大概這就是個資法的法條精隨了。
 
問：我們公司已經買了有強大的硬軟體，可以防止資料外洩，這樣難道還不符合個資法規定嗎？
回答：
 
個資法第27 條：非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。...並得為下列處分：一、禁止蒐集、處理或利用個人資料。二、命令刪除經處理之個人資料檔案。三、沒入或命銷燬違法蒐集之個人資料。四、公布非公務機關之違法情形，及其姓名或名稱與負責人。
 
個資法第29條：非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。
 
其實就像企業導入ISO 9001品管系統，乍看「品質」二字就以為這只是品管人員的責任，其實不然。ISO 9001是整個企業流程的管控，各部門皆有相關。同樣的，企業所接觸到的個資，當然不只有資訊部接觸，各部門都逃離不了關係。如果只是加裝一堆軟硬體來把個人資料「保密」妥當，其實並未掌握個資法精神。
 
個資法第一條就開宗明義的說：規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用。因此，不只有保密，如何在「搜集」、「處理」及「利用」個人資料的這一連串行為之中都做好良善之管控措施，才能達成個資法之精神與要求。因此，「保密」相當重要，但不是全部。
 
在輔導過程中，很常見的問題就是：為何資訊安全不是只有IT人員的事？個資法防範到底要哪個部門承辦？只要把資料保密就好了嗎？加裝一堆軟硬體來把個人資料「保密」妥當，就可以讓企業不會被告了嗎？其實，資訊安全與個資保護，並非單靠硬體設備就可以全面管控。
 
透過完備的硬體設備或許能夠有效防堵電腦資料之防護，但企業的運作不只運用電腦資訊，實體的紙本資料也是不可忽略的一部分。員工如何蒐集資料？處理資料？以及運用資料？這些都與「人」的行為有關，這些環節若有員工有意、無意的行為，都有可能使個資資料流失。
 
因此，企業可透過合適的制度，對於電腦處理及非經電腦處理之個人資料皆進行控管，提升人為與實體的資料控管，加強電腦與資訊系統之後台防護，有效對於個人資料完整保護。
 
領導力企管個資法解決方案－協助導入ISO國際標準

透過上面的問與答，我們已經了解到個資法絕對不只是資訊部門的事。企業的運作不只運用電腦資訊，實體的紙本資料也是不可忽略的一部分。並且，員工如何蒐集資料？處理資料？以及運用資料？這些都與「人」的行為有關，這些環節不論員工有意、無意行為，都有可能觸犯個資法。
 
因此，我們認為，導入以下三套系統，全方位整合各部門人員以及軟硬體設備輔助，才是最有效的個資法因應方案。
 

什麼是ISO 27001？
ISO 27001：2005資訊安全管理系統（Information Security Management System，ISMS），為國際通用的資訊安全管理工具和制度。它由國際標準組織國際標準組織ISO所制定，是一套國際級的資訊安全風險之解決方案。這套制度會提供企業很詳盡的方法和原則，來引導全體部門建立一個流程，來達到資安的維護。
 
什麼是BS 10012？
BS 10012：2009 個人資訊管理系統（personal information management system, PIMS），由英國標準協會參考OECD（經濟開發合作組織）對於個人隱私權保護的八大原則，制定針對個人資料保護所提出的個人資料保護標準，以說明個人資料保護之實施要求。
 
什麼是TPIPAS？
臺灣個人資料保護與管理制度規範(Taiwan Personal Information Protection and Administration System, TPIPAS)
我國政府為保障民眾個人隱私與保護，參考國外制度與標準之作法，進而推動我國隱私權管理保護認證制度，以提升事業對於個人資料之保護與管理能力，降低營運風險，並創造可信賴之個人資料保護及隱私環境。
 
上述三套系統，到底要怎麼做呢？要多久才會完成？
    
【第一階段】：系統導入、鑑別期，期程約 2 個月   
 
ISMS 資訊安全管理系統評估與導入、資訊資產與PIMS個資盤點；風險評鑑、安全政策、資訊安全組織、資產管理、人力資源安全、作業流程與個資衝擊分析。
 
將個資保護整併至 ISMS 的第一步，就是導入 ISMS 或檢視範圍，確認其是否涵蓋組織內的個資相關流程。目前ISMS 導入範圍多以資訊部門為主，但個資相關的作業或流程與很多部門有關，像是業務部、人資部、客服部、行銷部等，因此，整併第一步就是進行業務流程普查，以PIMS之基本要求為架構，將握有個資的部門或相關作業流程納入ISMS 範圍內。
 
在ISMS的風險評鑑威脅與弱點等項目中加入個資風險評鑑，並據此規劃或補強資安控制措施。確立範圍後，接下來就是盤點手中現有的個資，惟有清楚掌握保護標的，才能規劃恰當的安全控制措施。個資清點並沒有標準流程，但可透過領導力企管的個資專業課程協助引導企業，將上述流程方式進一步分成紙本與電子兩種形式。針對紙本文件的部份，要求各部門提供部門內所使用含有人名的表格或文件，至於電子資料，則是透過主機與端點雙管齊下，一方面檢視主機端的使用記錄，另一方面則透過稽核技巧來查驗端點電腦內是否含有個資文件。
 
【第二階段】：系統規劃、展開期，期程約3個月       
 
實體和環境安全、通訊與作業管理、導入個資管理與強化保護資安；存取控制、資訊系統取得/開發和維護、公告個資檔案、個資蒐集/處理/利用程序與安全措施ISMS偏重在個資的處理，並不重視資料從何而來或流向何處，而個資法規範的範圍涵蓋個資的蒐集、處理和利用。
 
因此，企業必須將資安管理的深度擴大到蒐集及利用上，在ISMS 與個資保護(PIMS要求)整併後，後台管理安全由 ISMS 負責，前台管控則是以PIMS為原則規劃的個資維護計劃。此階段進行資安與個資管控程序建立，例如：存取控制、資訊系統取得/開發和維護、公告個資檔案、個資蒐集/處理/利用程序與安全措施、實體和環境安全、通訊與作業管理…等。
 
【第三階段】：系統執行、稽核期，約2 個月
 
資訊安全事故管理、營運持續管理、個資風險作業流程；並確認適法性、解決方案建議、記錄保存與內部稽核完成所有資安程序機制後企業開始執行，並透過稽核的方式找出缺失已進行改善。落實PDCA精神，讓實際運作能有不斷改善提升，強化資安防護之規範。
 
透過P（計畫）、D（執行）、C（檢查）、A（矯正），協助企業在執行中也能找出問題的所在以進行矯正，使資安防護制度更加完備。完成內部稽核後，再透過領導力企管資安顧問的弱點測試、模擬稽核，也可協助企業找到弱點並有效改善。
 
【第四階段】：系統驗證期，約1-2個月
 
自評與改善措施、評估是否申請國際標準認證(第三方驗證)
 
導入ISO 27001到底有什麼用？預期效益為何？
 
一、完整資安防護證據，以備法院訴訟佐證
透過領導力所提供之PIMS&ISO27001個資防護解決方案案導入，有效提升企業資安防護之作為與責任，降低資安事件與責任。協助企業準備好各項資安防護證據，以備法院訴訟佐證。
 
二、員工不再誤觸個資法
透過系統的建立，不僅企業的資訊硬體設備與後台充分管制，人員的行為舉止都有標準能夠作為標竿，助於企業進行教育訓練，以及避免人員誤用或未依規定管控各資造成資安事件。
 
三、企業品牌形象提升
導入ISO 27001等三套系統等於是要五毛、給一塊，因為企業通過更嚴格的國際級資安認證。資安防護機制除因應個資法外，同時也可接受第三方驗證單位查驗，例如如BSI、SGS、AFNOR…等。不僅完成個資法防範措施而已，更高規格取得國際資安認證，有助提升客戶信心及企業形象。等於是企業拿出比個資法更嚴格的標準檢視自己，全面提升客戶信心，也可增加企業品牌形象。

想了解更多訊息，請前往領導力企管
http://www.isoleader.com.tw/