法規遵循與個人資料保護 回到資安Q&A
Q
通過ISO27001就可以符合個資法需求了嗎?
我們公司的資訊部已經有通過ISO27001的認證,是否這樣就已經符合新版「個人資料保護法」的要求? 或者該做哪些調整?
提問時間: 04/25/2011
A
值班醫師回應
去年五月二十六號,由總統公佈的「個人資料保護法」,除了修定原有的法條之外,連名稱都有所異動。由原先「電腦處理個人資料保護法」更改為「個人資料保護法」。省去了「電腦」兩個字,就代表一般的書面資料,只要有包含個人資料的,都列入個資法的範圍。同時在新版個資法中,關於個資的蒐集、處理、利用都有規範。舉例來說,每家公司都會有人事基本資料,這些人事基本資料都屬於個資的一部分,當初員工填寫的表單資料,如果一旦遺失而造成個資外洩,同樣符合新版個資法的適用範圍。

另外在人事資料中,經常都會有員工直系親屬的資料,這些在個資法實施前取得非由當事人所提供的個人資料,也必須要依照法令的要求,在開始實施一年內完成告知。同時在新版個資法中,包括個資刪除的流程,都有所要求。這些日常作業中所有包含個人資料使用的行為,都會適用於新版的個資法中。

所以,如果貴單位的資訊部門通過ISO27001認證,僅代表資訊部門某些作業流程,符合資訊安全管理系統的要求,並不表示符合新版個資法的要求。同時依照新版個資法的規定,並不只僅限於電腦系統,所以除了增添電腦設備以外,同時還有許多與個資有關的作業流程需要調整、改善。

對於已經通過ISO27001的單位,不論是否要擴大原先的認證範圍,第一步首先要做的,是要進行員工教育訓練。教育訓練的範圍,一定要跨出資訊單位,包括業務單位及後勤部門。而教育訓練的目的,也不僅是單純的解釋法條,必須要讓使用者知道,新版的「個人資料保護法」,除了對自身的權益有所保障外,更需要知道與現行業務間的關聯性。

此外更藉由教育訓練,明瞭是否現有的業務中會受到新版個資法的影響。舉例來說,如果有將客戶個人資料委外處理的,這些委外作業的廠商是否也對個資法有所熟悉,因此包括委外契約、查核方式等會與現在的作業方式不同。先要在整個單位內產生共識之後,才會有接下來其他後續的行動。而這些後續作業,無論是建立個資管理制度,或是開始個資清查、重新設計現有的作業流程,都必須是要使用單位的同仁參與,這樣才能避免將來個資法一旦上路,結果又只是資訊單位在一頭熱的情況發生。
資安急診室醫師介紹
資安顧問
擁有20年資安顧問、稽核輔導經驗,尤其熟悉金融產業。
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字