資安產業目前最熱的議題非個資法莫屬,新版個資法通過後,企業為了避免誤觸法網,勢必得提高資安防護措施,以免自身所擁有的個人資料外洩,而這也為資安市場帶來無限商機,許多資安設備廠商紛紛舉辦研討會,教育使用單位如何度過個資風險,然而這種現象卻也造成了企業主面對個資法的迷思。
SGS全球產品經理呂敏誠指出,很多企業主至今對個資法仍然一無所知,就算知道也往往存在著兩大迷思:第一個迷思是由單一部門去處理個資法議題即可,最常見的負責單位就是IT部門,再來則是法務部門,第二個迷思則是只要導入單一工具就可以做好個資防護,殊不知資安設備只是管理工具之一,如果沒有作業流程與人員的配合,勢必無法構成避免個資外洩的防線。
其實,有些中小型企業不一定要導入資安工具,只要改變作業流程或系統,也許就能避開個資外洩的風險,但是政府目前著重於制定法規、說明法規重要性,並沒有教育市場該如何作好防範,中小企業在認知不清的情況下,很可能被廠商誤導,以為一定要(或是只要)購買設備就能避免資料外洩,因而無法做好有效防範。
英國資訊委員會(Information Commissioner''s Office, ICO),針對企業預防個資外洩的作法,在網站上(http://www.ico.gov.uk)提供非常詳盡的資訊,包括法規說明、各種不同的Best Practice,甚至還有簡單工具可以協助企業做管理,呂敏誠建議,政府應該提供類似的中文資源,教育企業正確的個資防護觀念,才能真正達到個資立法的目的。