觀點

個資標準夯 金融業偏愛BS 10012

2012 / 02 / 20
廖珮君
個資標準夯 金融業偏愛BS 10012

個資法上路日期愈來愈近,企業因應動作也日益積極,除了採購資安設備外,許多企業也許劃導入相關認證標準,以證實自身的確已善盡管理責任。

 

SGS產品經理何星翰也表示,與個資法相關的標準有BS 10012TPIPASJIS-Q-150012006…等,其中,日本JIS-Q-150012006規範雖然嚴謹,但因為驗證機構在日本,台灣企業取得不易,而TPIPAS現階段僅以電子商務產業為主,加上台灣企業所導入的標準大多從BS延伸而來,種種原因使得BS 10012漸漸受到企業重視,目前以金融業的詢問度最高。

 

對此,BSI也有相同看法,日前,BSI舉行BS 10012授證儀式,BSI總經理蒲樹盛預估,2012年底至少會有10家以上企業取得驗證,而且以金融業居多,目前公告輔導要做的至少就有5家,如:合作金庫、中華郵政等,還有幾家大型電信業者也正在進行中。

 

不過,BS 10012內含許多英國及歐盟法規要求,與個資法還是有些許落差,以敏感個資的定義為例,BS 10012定義為:種族、宗教、政黨、是否為身心障礙等,然而個資法卻是醫療、基因、性生活、健康檢查及犯罪前科,再者,個資法中的軌跡資料保存、書面同意等事項,BS 10012也無法完全對應。

 

因此,何星翰提醒意欲導入BS 10012的企業,還是要搭配個資法要求來調整,建立企業個人資料管理系統(PIMS),如此才夠完整。

 

除了上述提到的三種標準之外,ISO 29100也是一個與個資保護相關的標準,類似資通服務中有關個資安全維護的行為規範,比較缺乏個資搜集/處理/利用程序、營運面或紙本類個資安全的管理規範,適用於IT服務業、資訊部門,或是透過網路蒐集個資的產業(如:電子商務),對於擁有大量紙本資料的企業而言,比較不適合。