法務為主、資安為輔 保護個資應技術配合管理

成立個資保護專責組織，是企業做好個資保護的基礎，初期定位在任務單位，進行PDCA中的規劃與執行，也就是制定個資保護管理制度，等到制度內化成日常作業之後，個資保護專責組織就可轉型變成幕僚單位，要做的就是PDCA循環的C和A，確保制度被落實或改進不足之處。

這是因應個資法的理想運作模式，但是企業分工複雜，誰該主導專責組織相關的工作規劃？多數企業主的第一個念頭是資訊部，因為個資保護談的是安全，理當交由資訊部門負責，但這是個錯誤的想法，資訊部當然是個資保護專責組織的一員，但絕對不會是主導者，企業若希望做更好的法規遵循，就應該由組織決策高層擔任主導者、法務人員負責相關的幕僚工作，協調各部門共同做好個資保護。

原因在於，新版個資法中有許多新的法律概念及不確定事項，單就對個人資料的搜集、處理及利用來看，其嚴謹度與複雜度遠遠超過現行電腦處理個人資料保護法，再加上民刑事賠償責任變重了，無形中增加企業的營運風險，一個不小心就有可能觸犯法令，也因此，法務人員的角色必須有所改變，從過往被動的法規諮詢者，轉變為積極主動的法規遵循規劃者，避免因為觸法所帶來的風險。天空傳媒（yam蕃薯藤）法務經理彭開英指出，由法務人員主導個資保護相關工作，可以讓企業做比較好的法規遵循。

只是，目前由法務人員主導個資保護作業的企業並不多，多數企業仍舊認為，資安或IT部門應該是主要負責人，某資安顧問以自身接觸的個案來統計，將近50%由IT部門擔任專案啟動者，他認為這與企業主認知不足、不夠重視有關，如果個資保護組織能夠由策略或營運相關部門主導，在企業內的重視度會比較高。

元富證券：法遵單位主導個資保護專案  降低觸法風險

即便如此，仍有部份金融業者指派法務部門擔任個資保護專案的幕僚單位，元富證券便是其一。元富證券法制暨法令遵循部協理熊文莊指出，個資法通過後，總經理即指定管理部副總林東和為専案負責人，法遵單位為専案導入之規劃及執行單位，並負責協調各單位（含IT部門）建立制度，第一件事就是成立「個人資料保護法執行小組」，確保元富能夠符合新版個資法規範。

元富證券資訊部副總經理李俊德表示，這和ISMS管理制度下的資安小組是兩個獨立編制，資安小組成員以資訊部門為主，負責ISMS相關的稽核與文件作業，但個資管理小組卻涵蓋公司各部門，負責組織內部的個人資料管理架構及權責，且直接向總經理／董事長／董事會報告。其執掌如下：

第一、執行召集人：由管理部副總擔任，負責公司內資源整合運用、統一決策及推動個人資料保護法之總責；

第二、發言人：由公關部門負責，此為統籌個人資料處理結果之統一對外發言窗口；

第三、法規遵循：由法遵單位負責，主要任務為部門（單位）管理與橫向業務聯絡、及定期統籌個人資料管理會議；

第四、資訊技術支援：由IT人員負責蒐集支援資料檔案管理之技術支援；

第五、稽核：由稽核人員負責執行查核工作，確保因應新法所定之控管控管措施能落實，以俾持續矯正及改善；

第六、各部門（單位）個資連絡窗口：由各部門指派1人參與，負責掌握單位內業務關鍵活動及重要資料流向，並將本辦法執行策略推動至部門（單位）內部。

元富證券資訊部副總經理李俊德表示，資安小組成員以資訊部門為主，負責ISMS相關的稽核與文件作業，但個資管理小組卻涵蓋公司各部門，負責組織內部的個人資料管理架構及權責。

此外，在建立個資保護管理制度過程中，涉及許多文件設計工作，例如對客戶通知書、申請書，這得都得交由法務人員設計或規劃，還有一些既有文件也要重新覆核，確保符合新法規範。還有，為了強化員工對於法規的認知及認同，不定期地進行教育訓練，透過案例來宣導法規遵循的重要性，以免員工誤觸法網，也是法務人員的重要工作。

熊文莊表示，現行「電腦處理個人資料保護法」，規範範圍僅限於電腦處理的資料，企業只要仰賴少數人做好資安工作，就足以因應法規要求，但新版個資法修正後，其適用的對象及範圍是全面的，包含電腦處理及書面處理，因此，企業全體員工都必須熟悉新的法令規範，於執行業務時確實遵循，以免觸法。

蕃薯藤：法務兼稽核  為企業作更好的法規遵循

老牌入口網站蕃薯藤，自2011年起積極發展電子商務，強化個資保護變成企業當務之急，第一步就是讓法務人員接受與ISMS有關的主導稽核員(LA)訓練，藉此累積資安知識，擔負起個資的稽核與法規遵循工作。

當然，累積資安知識的方式有很多，為什麼一定要選LA課程？這是因為蕃薯藤之前就已經導入ISO 27001管理制度，藉此機會讓法務人員具備資安稽核能力，進而擴展到個資稽核上，才能做更好的法規遵循。彭開英表示，技術人員的特質是懂技術、知道該如何做好個資保護，卻沒有辦法將這些寫成管理辦法或行政程序，比較不容易與行政部門溝通，而法務人員透過LA課程累積資安知識，不僅可以和技術人員溝通，之後進行相關資安或個資保護工作上也會比較順利。

天空傳媒法務經理彭開英指出，法務人員透過ISMS主導稽核員課程，累積資安稽核能力與資安知識，並將其擴展到個資稽核上，才能做更好的法規遵循。

考量到組織資源分配，蕃薯藤沒有另外成立個資專責組織，而是將相關業務納入既有資訊安全組織裡，其分工與權責如下：

第一、召集人：祕書室主任祕書，此職務由總經理指派，層級較高，跨部會溝通協調較為容易；

第二、稽核與督導：由法務處負責；

第三、系統面規劃執行：技術部門最高主管；

第四、作業面規劃執行：業務部門最高主管及行政部門單位最高主管；

以前的法務工作多半是契約審議、法律風險分析等，企業遇到狀況時才會請求法務人員的協助，屬於比較被動的角色，但在個資法通過後，法務人員必須轉變為主動出擊的角色，負責觀念溝通、適法性檢視、計畫研擬、工作推動、技術與管理部門資源的整合、資安工作的執行與稽核。彭開英認為，因應這樣的轉變，法務人員必須深入瞭解公司運作狀況、作業流程、及技術上可能有的問題，除了找出解決問題的方法，還要思考企業要做到什麼樣的程度，才不會被法院認定有罪，因此，隨時進修、補充資安知識也是必須的。

個資稽核  加強深度與廣度

企業建立個資保護管理制度後，應該透過稽核制度定期查核，確保制度能夠落實，或是找出不足之處加以改進，然而，個資稽核與資安稽核兩者截然不同，企業不能用ISMS下資安稽核的思維去做個資稽核。在ISMS管理制度下所做的資安稽核，以ISMS規範是否落實為主要稽核內容，著重在存取控制、網路或儲存設備的安全，舉例來說，ISMS規範要做好網路安全，資安稽核的內容可能就是企業有沒有建置相關的網路安全防護設備（如：防火牆）或是其他防護措施。

KPMG.資訊科技諮詢服務部協理謝昀澤認為，個資稽核與資安稽核最大的差異在於，加強了稽核的深度與廣度：

(1)   深度：個資的來源、內容（個資種類）、使用目的、保存有沒有超過期限、交換……等適法性檢視。

(2)   廣度：擴大稽核範圍，以前集中在資訊部門，如今則要涵蓋個資取得、使用、交換等流程，因此業務、行銷等各個部門都是個資稽核的範圍。

以病歷為例，其乃重要個人資料必須加強保護，資安稽核的重點會放在，醫院做了哪些資安防護措施來保護病歷資料（庫），例如：防火牆、存取控制……等，但是個資稽核則非如此，其要做的是適法性檢視。假設醫院要將病歷資料中的某一部份用做統計分析，個資稽核人員就會檢視當初取得病歷資料時所寫的使用目的，是否為統計分析，倘若不一樣顯然就違反個資法規範，再來則是檢視病歷資料內容，倘若含有姓名、地址、電話，顯然也是不合理的做法，因為這些資料無法進行統計分析，應該只搜集需要做統計分析的項目就好。

也有另外一種狀況是，在進行統計分析前，必須透過這些基本資料進行過濾或比對，此時就可以保留基本資料，但要做好資料遮罩（如：王XX、F3341XXXXX），或用代碼取代原始內容，而不是直接使用完整資料。簡單來說，稽核人員必須了解個資法的原意，改變以往的稽核做法才可以，關於稽核人員工作上的改變，下篇文章《內稽內控整併個資保護 用管理填補外洩缺口》有更詳細盡的介紹，在此不多做贅述。

從作戰單位到幕僚二階段定位  用PDCA循環強化個資保護

謝昀澤指出，因應個資法的工作內容可以分成三種：策略、執行、與稽核，策略指的是風險分析、制定各部門的執行責任；執行則是指個資盤點、清查、書面通知等工作；稽核就是個資管理制度查核、適法性檢視，因此，一個理想的個資保護專責組織應該要涵蓋這3個層面。就大型企業來說，有二種部門一定參與個資保護的推動工作，第一個是直接接觸個資的部門（如：IT、人事），第二個是幕僚單位（如：策略、法務、稽核、營運/經營、規劃、風控），至於中小型企業可能沒有設置幕僚單位，主要參與者以IT及應用個資最多的部門為主，如：會員管理中心、電話行銷部門、客服中心等。

對於規模大或是法規衝擊大的企業來說，個資保護小組的定位必須分成兩階段，第一階段以專案、任務導向的形式，定位在作戰單位、任務單位，如此才能定目標進度(Milestone)，有計劃地完成事情，否則永遠都會有更重要的事情要處理，根本就沒辦法執行個資保護相關業務，此時要做的是PDCA循環裡的P和D，亦即研究與制定個資保護政策或作法，等到制度內化以後，才進入第二階段變成幕僚單位，做的是落實或檢討制度的日常事務，也就是PDCA循環裡的C和A。

至於規模屬於中小型、或是法規衝擊不大的企業，要做的事情就簡單許多，不必分成兩階段定位。首先對員工做教育訓練，宣導個資法及建立認知；接著將法令規範與實際作業流程相互比對，找出其中有落差的地方，並設法填補缺口，包括導入資安設備、建立內控制度、或是直接購買個資保險，都是填補缺口的作法。