觀點

日本個資法經驗 企業應需負下游廠商監督、稽核之責

2009 / 08 / 24
吳依恂
日本個資法經驗  企業應需負下游廠商監督、稽核之責

相較於躺在立法院三讀遲遲未通過的台灣個人資料保護法,日本個人資料法早已於4年前正式上路了,只是,即使如日本這麼先進的國家,其實資料安全的保護觀念,依然也會遇到使用者抗拒等必然的問題,尤其在執行面上亦有需要克服的地方。

日本安全軟體公司N-CRYPT創辦人兼CEO中村貴利談到,在日本個資法剛通過時,大部分的企業其實也沒有認真看待,直到一年後,更詳盡的「參考指引」出來,多數企業才開始有了更進一步的明確作法,例如資料加密,並且加註不可將責任推給下游廠商,須負起監督之責等但書。甚而是必須提供下游廠商工具或方法,並且善盡定期監督、稽核之責。

該份參考指引其中更詳細的明定,只要企業善盡保護資料之責,並且使用政府建議的一些加密方式(如圖)



 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

,把資料加密過後,資料便不易被破解,因此即使企業洩露個資,仍可免除賠償、道歉之責,只要證明電子檔具有認可的加密,甚至可以不需要通報。

由於個資外洩案件逐年增多,因此日本針對個人資料外洩之求償金額有逐漸增高的趨勢,就目前日本的判例看來,最高賠償金額為一人3萬5000日幣,被告為日本知名的美容美體業者TBC,該案件發生於2002年5月,卻直到2007年8月,終於才由最高法院裁定判賠金額,而TBC的賠償金額會被判定比以往的1萬日幣還要高出如此多,主因是由於其洩露的資訊內容不僅僅是姓名與地址,甚至還包括了客戶為什麼對於美容美體產生興趣的個人理由,並且由於資訊內容存放於P2P軟體,因此造成了資訊大量的外洩且不可挽回。

最近日本也發生了一起個資外洩事件-知名藝人紀念品購物網站遭駭 15萬筆個資、3萬筆信用卡資料被竊,中村貴利提到,05年開始日本個資法已經全面實施,但依然有企業未能做好全面的防備。不過,隨著判賠金額越來越高,以目前日本企業看來,加密市場似乎也開始活絡了起來。