https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

日本隱私權標章運作模式介紹

2009 / 07 / 09
李世德
日本隱私權標章運作模式介紹
日本對非公務機關的個資保護制度接近歐盟模式,但日本各界認為,應針對各非公共部門利用個資的形式與程度,制定靈活措施。

  最近有關個人資料外洩事件頻傳,有知名電視購物台及網路書店疑似個人資料外洩致使客戶遭詐騙、有交通違規罰單直接將個人資料內容當信封封面寄給當事人、部分肺結核病患資料在Google網站全都露,讓人上網便一覽無疑、政商名流及藝人個人資料被高價販賣、國中基測之個人資料大筆外洩等。這些事件讓當事人隱私外露,幾乎變成透明人,甚至遭到詐騙,另外也妨礙正常商務活動之進行。「電腦處理個人資料保護法修正草案」雖正於立法院審議,但「徒法不足以自行」,未來修正通過後,監督非公務機關之各目的事業主管機關及縣市政府應如何開展新法之實施工作與配套措施,觀摩法制先進國家之實施經驗,乃是不二法門。日本「個人情報保護法律(個人情報の保護に関する 法律)」(註1)於2005年4月1日開始施行(相關文章請見資安人第43期「日本制定個人情報保護指南之趨勢與借鏡」),其對非公務機關採取他律與自律並用模式,值得參考。

  日本現行對非公務機關的個人資料保護制度,形式上接近歐盟的立法模式,但實質上,日本社會各界一貫認為,應針對各種非公共部門利用個人資料的形式與程度,制定較靈活的措施,同時鼓勵進行自律。因此,從總體上講,日本的立法模式是美國「自律」模式和歐洲「他律」模式的折衷,既注意到本國行業自律機制的有限性,依法實施規制的必要性,又沒有一味迎合歐洲對個人資料實施嚴格保護的要求,而試圖在保護個人權益與保障資訊自由流動之間尋找平衡(註2)。

日本隱私權標章制度建立起源

  「日本情報處理開發協會(JIPDEC)」發行之隱私權標章(Privacy Mark)(圖1)制度,是建立一套標準認證使民間企業能採取適當的措施來保護個人資料。這些通過認證之民間企業在其商業活動期間被允許其有權去彰顯Privacy Mark。而該制度係依照日本工業標準 (JIS Q 15001︰2006 [個人資料保護管理系統-要求事項])而來。

  1998年制定法律第95號「行政機關保有電子計算機處理個人情報保護法律」作為日本第一部保護個人資料之法律時,針對非公務機關規範之法律於當時尚未被制定。因為網際網路和資訊處理技術已經開發成熟,隨著個人資料能透過電腦被大量地處理,並易於散佈於網路上,社會大眾也開始期盼民間企業應保護個人資料。由於要求有效率的保護個人資料措施,能儘快地實施之呼聲四起,基於當時通產省(現稱為經產省Ministry of Economy, Trade and Industry)之指示,「日本情報處理開發協會」(JIPDEC, Japan Information Processing Development Corporation)(註3),建立一套自律驗證個人資料保護管理制度。

  Privacy Mark制度驗證民間企業能持續運作這套正確管理個人資料之系統,並授予這些符合一定標準之企業,能使用Privacy Mark。故該制度有下列2項目標︰(1)藉由消費者看到Privacy Mark之揭示,提升消費者保護個人資料之意識。(2)透過促進正確管理個人資料之措施,達到產生較高保護消費者個人資料之認知,並給予商業活動中取得社會信賴感之動機誘因。

  Privacy Mark制度之驗證要求第三方組織客觀地評估該民間企業遵循相關法令規範,包括JIS Q15001,而且該制度是一種有效用之工具,能讓民間企業去展現它們是處於遵守法令之狀態,並已自願地建置一套高標準保護個人資料之管理系統。

個人資料保護管理系統之國家標準建立

  由於自律驗證需有標準存在,首先由日本工業標準調查會制定和審議,完成JIS Q15001(個人資料保護管理系統要求事項)。係參照ISO 270001資訊安全管理系統之「Plan(計畫)、Do(實施)、Check(檢查)、Act(改進)」核心概念,將個人資料保護法律規範列入國家工業標準,以作為國內民間企業提昇個人資料保護措施之共同標準。因配合「個人情報保護法律」於2005年4月1日開始施行,於2006年酌作修正。

  該民間企業除必須符合下列之要求,並應於實際商業活動過程促進個人資料之保護:
1. 必須建立一套個人資料保護管理系統(PMS)(註4),符合於JIS Q 15001:2006。

2. 基於個人資料保護管理系統必須擬出可執行之措施來正確管理個人資料。

3. 申請人之遵循情況將透過填載之書面申請表及現場審查進行評鑑。

4. 申請驗證之民間企業不可有下列消極條件(不合格之情形)︰

 ① 自申請日起算之前3個月內,曾有相同申請或再審查請求而被拒絕授予Privacy Mark驗證。

 ② 自申請日起算之前1年內,曾有Privacy Mark驗證被撤銷,或Privacy Mark標章使用契約被取消之情事。

 ③ 民間企業在申請Privacy Mark驗證期間,發生個人資料外洩或侵害個人資料損及當事人權益,以致於違反所訂定規章標準。

 ④ 該企業之執行者(包含法人代表或非法人組織之管理人)具有下列條件者:

  ? 曾受有期徒刑之執行者,或受緩刑宣告期滿後尚未超過2年者。

  ? 曾違反個人資料保護法被判刑而執行完畢,或受緩刑宣告期滿後尚未超過2年者。

驗證稽核實施流程

  Privacy Mark制度由JIPDEC擔任授證機構,另由15個指定機構擔任審查評價機構:
(一) 授證機構
  由JIPDEC負責建立適當之Privacy Mark制度管理規範,供審查評價機構進行企業經營者之檢視,並需接受申訴處理且提供消費者諮商。其內部負責該項業務之部門有以下2單位:

1. Privacy Mark 制度委員會:委員會由學者、專家、企業代表、消費者代表、律師等組成,討論並決定下列事項:

 ① 建立並修正涉及Privacy Mark制度之標準和規程。

 ② 指定或取消審查評價機構地位。

 ③ 取消已授予之Privacy Mark驗證。

 ④ 制度運用狀況檢討

2. 消費者申訴窗口服務:提供消費者詢問有關個人資料保護諮商,以及接受有關Privacy Mark制度申訴抱怨等等服務。這些諮商及申訴內容可供分析檢討而研擬防止再度發生之措施。

(二) 審查評價機構

  審查評價機構(註5)係指向「日本情報處理開發協會」之Privacy Mark 制度委員會申請認證合格並被指定為審查評價機構者。其辦理民間企業之Privacy Mark驗證申請、審查評價並認定等業務

(三)驗證期限
  Privacy Mark驗證有效期間是2年,原2年期限屆至後,可再申請2年的延長期限。此後每2年可再申請更新審查。申請更新審查應於期限屆滿前第3個月至第4個月之間內為之。

(四)各產業之驗證合格統計
  至2008年10月1日以前,目前已有9,722家企業取得該驗證之Privacy Mark 標章,其分布於各行業之統計,可見其影響日本產業發展之相當深遠。

  綜上所述,日本的他律個人資料保護法制,搭配自律之驗證制度,形成三層體系-法規層、標準層、驗證層,將他律之要求經由國家工業標準制定及驗證過程,落實到企業自律之行動,換言之,日本政府也是透過這套Privacy Mark制度,幫助企業不斷地發現問題,讓企業自覺地提升自我保護個人資料之能力,而非被動敷衍;同時也提昇企業之商譽,無形中奠定消費者交易之信賴感基礎,實為一舉數得的雙贏典範。

對隱私權標章制度之省思

  有關於個人資料保護之議題,亞太經濟合作會議(APEC)已有制定APEC隱私權保護綱領 (APEC Privacy Framework),2007年9月APEC電子商務指導小組(ECSG)之資料隱私次級小組(DPS , Data Privacy Sub-group)已決議針對該綱領所提「跨境隱私規則」(CBPRs, cross-border privacy rules),提出「資料隱私開路者計畫(The Pathfinder projects)」(註6)共9項子計畫要來落實,其中第2與第3個計畫係隱私權信賴標章的問題,我國身為APEC經濟體之一,顯然無法迴避此一問題。今年6月間立法委員參考日本之隱私權認證標章制度,提案並經立法院院會決議通過,函請行政院推動公、民營機構「隱私權管理保護」認證制度,業經行政院秘書長指示法務部召集相關機關研議我國推動隱私權標章制度之可能性,目前行政院已於今年9月3日函復立法院,表示將由經濟部會同相關機關,就協助民間產業建立個人資料保護管理系統與隱私權標章制度進行研議,並據以積極推動。故日本成功之Privacy Mark推動經驗,將成為我國擬定相關隱私權標章政策的重要借鑒。

1. 日文漢字「個人情報」即我國「個人資料」之意,以下引用日本法律專有名詞時仍使用「個人情報」用語,其餘一般敘述則使用「個人資料」用語。

2. 呂豔濱,日本個人信息保護機制,北京大學法學院互聯網法律中心,
http://www.pkunetlaw.cn/Article/ArticleDisplay.asp?ID=22&KeyContent=

3. 全名為財團法人日本情報處理開發協會,成立於1967年,目前基金數額為39億9,900萬円,134名員工,係為促進技術產業化,在經產省支持下所成立之半官方機構,主要任務是為企業提供技術咨詢和研究成果,資助民間企業發展資訊技術產業,協助政府將產業指導方針落實於民間產業。

4. 在JIS Q 15001,個人資料保護管理系統(PMS)被定義為一套由企業經營者使用於商業活動中之個人資料管理系統,包含週延地考量到「政策」、「系統」、「計畫」、「執行」、「監視」及「檢討」等有關保護個人資料權益。

5. 審查評價機構必須是具有足夠個人資料保護豐富經驗及有能力執行Privacy Mark制度之商業同業公會或其他組織(限於依日本法律設立之非營利性組織及商業同業公會,或其他經「日本情報處理開發協會」承認之非營利性團體)。

6. 詳細計畫內容之英文文件可參閱APEC AIMP網站「會議資料庫」2008年2月有關「2008/02/21,Data Privacy PathfinderImplementation Workshops」會議資料(
http://aimp.apec.org/MDDB/Pages/searchmeeting.aspx