觀點

因應個資法系列(6) 3M法務推動個資盤點 與IT合作建立管理機制

2012 / 04 / 16
廖珮君
因應個資法系列(6) 3M法務推動個資盤點  與IT合作建立管理機制

自從新版個資法通過以來,在電子商務、電信、金融、政府、資安等產業圈內,引起一陣熱烈討論,至於不直接接觸消費者的製造業,倒沒有引起太大波瀾,然而,台灣明尼蘇達礦業製造(以下簡稱3M台灣)公司卻是其中的特例。3M台灣雖然是製造業,但美商素來重視法規遵循及企業誠信,加上自身亦經營會員網、舉辦行銷活動,手中握有不少個人資料,或許數量不像電子商務或金融業那麼多,但該有的法規遵循動作卻是一步也不能少。

 

因此,3M法務人員在參加外部訓練課程、了解法律規範後,便開始籌劃個資法因應策略,初期目標為完成個資盤點,等施行細則正式公告後,再來做後續規劃,同時亦向決策高層報告並取得認同,為推動個資盤點踏出成功的第一步。

 

法規遵循  從個資盤點開始

除了高層支持,3M台灣法務經理魏安德認為,企業進行個資盤點還有一個前提就是,讓員工瞭解法規遵循的重要性,因此內部教育訓練也是不可或缺的工作。3M台灣共有七大事業群,法務人員利用7大事業群開會的場合,宣導個資法重要性,同時要求IT、客服與人力資源等比較常接觸個人資料的部門至外部受訓,確認員工都樹立起個資法認知後,才開始籌組個資盤點小組。

 

首先發函通知各事業群總經理及客服、ITHR部門主管,請他們派代表參加個資盤點會議,會議上討論的主題有三點:第一、什麼是個資,也就是哪些個人資料要被盤點;第二、盤點方式;第三、盤點表的格式(表一),根據自身作業流程與需求,決定個資盤點表該有哪些欄位。

 

魏安德表示,3M個資盤點表以資策會提供的範本為基礎,再配合自身需求增加與刪除部份欄位。例如:資策會的個資盤點表共有7個欄目:作業流、個人資料檔案名稱、資料種類、直接/間接蒐集、蒐集之特定目的、保管部門、是否有委託關係,3M保留前5項,另外增列以下5項:使用部門、資料擁有者、存放地點、使用有效期限、提供資訊給委外廠商。

 

表一、3M個資盤點表(範例)

作業流

個人資料檔案名稱

資料種類

直接/間接蒐集

蒐集特定目的

使用部門

資料擁有者

存放地點

使用有效期限

提供資訊給委外廠商

人員聘用

員工履歷表

姓名/身份證字號/電話/住址/ E-mail/學歷/經歷

直接

(1)雇用服務管理;(2)人事行政管理

業務、人資

人資

人資系統

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

資料來源:3M提供,《資安人整理》,2012/2

註:黃底為資策會範本既有欄位,藍底為3M新增欄位。

 

 

第二步是討論個資盤點結果。當個資盤點代表完成部門/事業群內的個資盤點作業,必須將結果同時寄給法務與IT人員,由法務與IT部門針對擁有重要敏感資料的單位(如:HR、客服、消費者事業群等)開會討論,內容包括個資的蒐集範圍與方式、使用方法、存放地點等,簡單來說,就是瞭解個資的保存或管理機制是否完善、個資是否有保留必要性。

 

舉例來說,消費者事業群曾經舉辦過「填問卷、抽大獎」的行銷活動,這些問卷勢必含有個人資料,此時,法務與IT要瞭解的是,問卷內容(設計形式)、問卷裡的個資存放在哪些系統、資料管理者是誰、公佈結果的方式(有沒有做資料遮罩或是如何遮蔽)等。

 

有時候在討論過程中,會找出一體適用的規則,如:以後個人資料要集中放置放某個共用資料夾,而且該資料夾還要鎖權限、限制存取者身份,此時就會直接告訴該單位並要求遵守。魏安德認為,在做個資盤點時,最重要的是找出資料儲存位置與制定管理方式,像3M就是在個資盤點後,才發現很多個人資料存放在端點(員工電腦)中,必須重新建立資料使用和管理規則。

 

法務與IT捨棄專有名詞  溝通愈白話愈好

對製造業而言,個資法是一個全新的法律,單靠法務或IT人員都無法做好法規遵循,必須兩者共同合作。法務人員負責員工訓練與法規解釋,如:個資定義、法規管理範圍等,IT人員則負責規劃因應法律所需要導入的措施,如:系統管理方式、個資檔案分佈狀況、評估現有保護機制是否足夠等,當然,IT人員在規劃時,勢必會希望知道要做到何種程度,才算是符合法律規範,此時就有賴法務人員給予解釋與回答。

 

話雖簡單,法務與IT分屬不同專業領域,該如何讓對方理解?魏安德認為,舉例來說,對IT人員而言,ISO 27001是基礎名詞、不需解釋就知道其意思,但法務人員可能根本沒聽過,也不知其代表意涵為何,而法務人員在提到法律名詞(如:舉證責任倒置)時,也要用比較生活化的方式來解釋,才能讓人理解。

 

目前,3M台灣已完成個資盤點,並制定個資使用與管理機制,只是還沒有文件化(即撰寫個資管理手冊)。由於美商原就重視資訊安全,強調要在合理安全的範圍內使用資料,本身就有極嚴謹的資料保護措施,也規範員工務必要遵守,因此,個資使用與管理機制的建立,對日常作業並沒有太大衝擊,只要掌握好兩個大原則:(1)集中控管、落實權限管理;(2)沒有使用必要性的個人資料,應立即銷毀,就能做好個人資料管理,一旦個資法正式上路後,就著手撰寫個資管理手冊,將相關機制文件化,也讓員工有遵循的依據。

 

3M法務人員的工作內容

1.  主導企業因應個資法的規劃;

2.      內部宣導與教育訓練,說明個資法對企業的影響;

3.      主導個資盤點作業;

 

4.      IT合作,建立個資管理與使用機制;

 

5.      檢視與個人資料相關的合約文字、表格、或官網內容,如:聘雇合約、3M會員網、委外契約(如:與伺服器代管業者的合約等),並配合個資法規範增修條文。