在法務部公告個人資料保護法施行細則草案後,經濟部商業司也已為轄下產業──無店面零售業、百貨及量販零售業以及工商徵信業制定出「個人資料檔案安全維護計畫標準辦法(草案)」以及「業務終止後個人資料處理方法標準辦法(草案)」。未來,經濟部商業司將以前者作為評估企業落實個資保護的標準,並進行行政檢查。
「個人資料檔案安全維護計畫標準辦法(草案)」內容包括組織成立與資源配置、計畫規範程序、安全管理措施、宣導與教育訓練、稽核與改善程序、記錄機制等六大範疇,詳情請見《資安人》11月號雜誌。其中,在計畫規範程序,企業需制定相關程序書,包括擬定政策、法規與個資盤點、風險分析與事故應變、委託監督等。過去企業發生個資外洩事件多半不願張揚、私下解決。如今在標準辦法第10條中清楚指出,企業若發生個資外洩事故,應查明事故狀況並適時通知當事人。資策會科法所法律研究員蘇柏毓說明,通知內容應包含事件日期、哪個資料庫、影響筆數等訊息。此外,值得注意的是,將來在事故發生期間,企業所採取的所有應變措施包括通知當事人等處理程序,均應留存相關記錄。
為使企業符合法規,商業司也制定出臺灣個人資料保護與管理制度(TPIPAS)、資料隱私保護標章等配套措施。制度建置機構──資策會科法所指出,目前TPIPAS仍在試行導入階段,未來商業司將制定出輔導/驗證標準,管理顧問業者可據此輔導企業建置TPIPAS,並協助取得DP mark標章。
儘管目前輔導/驗證標準尚未出爐,但已有資安服務業者看好個資法商機,推出個資管理系統輔導服務。資策會科法所組長顧振豪認為,要建置個資管理制度,企業約略需要半年左右時間來完成個資盤點、風險分析等步驟。過去完全沒有資安管理制度建置經驗的企業可先找顧問業者協助,或派員參與TPIPAS管理師、內評師培訓課程。