4月剛出爐的新版個人資料保護法,是參酌日本、歐盟相關法令以及APEC隱私權保護綱領所制定。除了法律外,目前經濟部商業司也參考日本,正規劃台灣隱私權標章制度,希望透過民間自律的機制來達到法律規範目的。日本個人情報保護法上路至今已5年,其中經歷二次修法的過程,這部法律及標章等機制對日本企業的實際影響,值得台灣借鏡。
雖有P mark 有無落實是重點
本刊第58期曾談過「日本隱私權標章運作模式介紹」,日本藉由法令、標準及驗證等三體系來促使企業自發性地做好個資保護。日本隱私權標章(Privacy mark)自2005年開始推動,2008年取得的企業有9,700多家,到今年5月則有1.1萬多家,持續成長。以產業別來看,最多數是服務業,約佔73%,其次是製造業12%。而同一時間,日本取得ISO 27001證書的企業約3千多家。
日本NTT Data旗下專營資安服務的子公司NTT Data Security (NDS)營業課長本鄉曉彥認為,不論是Privacy mark或ISO 27001,仍然有取得證書的企業發生個資外洩的事件,問題不在制度而是企業的落實度。儘管有導入個資管理制度,但企業如果只是做做表面,沒有徹底落實,還是會發生資料外洩事件。
談到母公司NTT Data在2003與2005年也發生過二次資料外洩的事件,第一次是因為合作廠商的派遣員工筆電被竊,第二次則是員工的USB隨身碟遺失。這兩次都是人員主動通報才得知。隨後公司立即組成事件調查委員會,以找出有哪些資料遺失,接著通報主管機關,以及對外新聞發佈。
本鄉提到,在資料外洩事件處理的經驗當中,要正確找出有哪些資料遺失是最花時間的過程,尤其事件調查階段通查時間緊急。因此預防之道就是透過事先定義的個資保護標準作業程序,加上強制性的資料保護解決方案雙管齊下。
通知義務 是企業要不要好好做的關鍵
如前所述,日本在2005年推出個人情報保護法之後,曾經修改過二次條文。目的是要讓此法更容易被企業遵循。修正後的法律規定,若企業發生個資外洩事件,只要能提出證明,例如,外洩的資料是經過加密保護的,並且經主管機關審核確認,就可免除通知受害者。在加州的資料隱私法案(SB 1386)也有類似規定。
由於法律中規範了通知客戶的義務,使得許多資料外洩事件因此登上新聞版面,對企業的商譽造成莫大影響。也因此,修正了這條法令後,企業較能務實地落實資安工作。
法令的修正提升企業個資保護的落實度,然而仍然有部分企業依舊抱持與我無關的消極態度。當初個人情報保護法的通過,為部份商品/服務來高度的需求,包括資料外洩責任險。資料外洩責任保險理賠範圍涵蓋罰款、企業處理費用、營業損失等。但本鄉指出,一開始投保的企業似乎較多,近期就越來越少,推測是企業仍然抱持著資料外洩不會發生在我身上的想法。
現在不疾不徐 最後很急
日本2003年法案通過,至2005年4月正式上路,雖然準備期間不短,但本鄉指出,日本企業也很多是直到正式上路前2個月才急著準備因應,急著尋找解決方案。平心而論,一個理想的企業個資保護因應方案,最好是先請IT管理顧問來檢視企業環境,但光是在這個過程就會花很多時間考慮,接著顧問進來開始做風險評鑑的過程也需花時間。因此很多企業在不知不覺間,緩衝時間就到了。所以到後來,眼看法案即將實施,進度落後的企業就先做能立即防堵外洩管道的方案,例如周邊控管解決方案。
在法規、標章與驗證機制同時健全的前提下,日本個資法對企業帶來正面的影響,並藉由P-D-C-A的過程提升企業的個資保護能力。同時一旦發生事件,企業也會主動通報主管機關、進行事件調查、通知相關人員等程序。而臺灣企業過去在這部份相對較無處理經驗,雖然法案已通過,但法務部預估距離要正式實施上路還約有1年時間,企業仍應及早因應規劃。