近來,從「二手硬碟藏個資」到「保險經紀人不當利用個資遭罰」的案例看來,民眾對於個人資料保護的意識已在逐漸增加中。相反地,企業應該如何著手規劃個資保護計畫,應該由哪個部門負責此項專案,許多單位仍然摸不著頭緒。
資誠企管顧問魯君禮協理指出,企業因應個資保護應該把法令風險與IT風險結合一起看。以個資的生命流程(資料蒐集、處理、利用)來看,資料的搜集不在資訊人員職責範圍內,而是應該由法務來看蒐集是否合法、是否盡告知義務,而在個資處理、利用階段,是需要資訊部門介入,但是如果是關於個資是否可以再用做資料探勘(Data mining),也還是必須聽法務人員的見解。因此,在企業個資保護管理制度的建置階段,法務、IT都必須進來。他舉例,某金控的個資專案層級更直接由業務單位副總與法務長共同督導,法令雖需優先遵循,但也不能影響業務發展。而在另一個全台率先驗證個資保護制度的政府機關案子中,則是由資訊部門先主動起頭,然後全機關相關人員都一起投入。他強調,只以資訊部門為範圍的個資保護專案,將不夠全面。
其次,魯君禮提醒,對已經建置資訊安全管理系統ISMS的企業來說,如今要建置個資管理系統不應該再疊床架屋。舉凡在制定政策、成立組織、或存取控制方面都可以將兩套體制整合為一,如下圖。以BS10012來說,在19個控制目標當中只有2個是資訊安全的內容,其餘大多是適法性的查驗。因此,了解差異,在現有基礎上去延伸,會是比較好的作法。
ISMS與PIMS範圍差異示意圖
圖由資誠企管提供,資安人整理2012/04