新版個資法預計2011年上路,台灣企業至今仍處於懞懞懂懂的狀態,究竟該怎麼做才算是符合個資法規範?NTT Data Security營業課長本鄉曉彥以日本經驗為例,提供給台灣企業做參考。
日本個人情報保護法於2005年4月正式上路後,日本企業面臨的第一個困難是,無法理解個人情報保護法的規範內容,當時法規規定,擁有個資筆數超過5,000筆的企業,才會受到個人情報保護法的規範,因此許多小型企業皆誤以為自身不在法規管轄範圍內,殊不知個人情報保護法對個資的定義很細,例如ID、姓名、交易資料等皆屬於個資的一環,即便是小型企業也可能擁有超過5,000筆個人資料。
因此,本鄉曉彥認為,企業面對個資法要做的事情包括以下四點:
第一、掌握公司內的個人資料
第二、確認自身是否為法規管轄的對象
第三、尋找資訊顧問公司及IT工具,並進行比較與評估
第四、向當事人補行告知義務,亦即說明這些個人資料會用在哪些用途
至於IT人員在其中又扮演著什麼樣的角色?IT人員原就肩負制定資安政策的責任,因應個資法到來,IT人員必須做好以下幾件事:
第一、掌握資訊的量(即有多少筆個人資料)
第二、估算個資的價值
第三、評估可能的洩密管道
第四、防止資料外洩的方式
第五、落實PDCA原則,定期檢視個資風險
第六、日本在2005年推出個資法後,曾經修改過二次條文,配合法律條文修正,IT人員也應該隨時修改資安政策