因應個資法系列(6) 3M法務推動個資盤點 與IT合作建立管理機制

自從新版個資法通過以來，在電子商務、電信、金融、政府、資安…等產業圈內，引起一陣熱烈討論，至於不直接接觸消費者的製造業，倒沒有引起太大波瀾，然而，台灣明尼蘇達礦業製造（以下簡稱3M台灣）公司卻是其中的特例。3M台灣雖然是製造業，但美商素來重視法規遵循及企業誠信，加上自身亦經營會員網、舉辦行銷活動，手中握有不少個人資料，或許數量不像電子商務或金融業那麼多，但該有的法規遵循動作卻是一步也不能少。

因此，3M法務人員在參加外部訓練課程、了解法律規範後，便開始籌劃個資法因應策略，初期目標為完成個資盤點，等施行細則正式公告後，再來做後續規劃，同時亦向決策高層報告並取得認同，為推動個資盤點踏出成功的第一步。

法規遵循  從個資盤點開始

除了高層支持，3M台灣法務經理魏安德認為，企業進行個資盤點還有一個前提就是，讓員工瞭解法規遵循的重要性，因此內部教育訓練也是不可或缺的工作。3M台灣共有七大事業群，法務人員利用7大事業群開會的場合，宣導個資法重要性，同時要求IT、客服與人力資源等比較常接觸個人資料的部門至外部受訓，確認員工都樹立起個資法認知後，才開始籌組個資盤點小組。

首先發函通知各事業群總經理及客服、IT、HR部門主管，請他們派代表參加個資盤點會議，會議上討論的主題有三點：第一、什麼是個資，也就是哪些個人資料要被盤點；第二、盤點方式；第三、盤點表的格式（表一），根據自身作業流程與需求，決定個資盤點表該有哪些欄位。

魏安德表示，3M個資盤點表以資策會提供的範本為基礎，再配合自身需求增加與刪除部份欄位。例如：資策會的個資盤點表共有7個欄目：作業流、個人資料檔案名稱、資料種類、直接/間接蒐集、蒐集之特定目的、保管部門、是否有委託關係，3M保留前5項，另外增列以下5項：使用部門、資料擁有者、存放地點、使用有效期限、提供資訊給委外廠商。

表一、3M個資盤點表（範例）

資料來源：3M提供，《資安人整理》，2012/2。

註：黃底為資策會範本既有欄位，藍底為3M新增欄位。

第二步是討論個資盤點結果。當個資盤點代表完成部門／事業群內的個資盤點作業，必須將結果同時寄給法務與IT人員，由法務與IT部門針對擁有重要敏感資料的單位（如：HR、客服、消費者事業群…等）開會討論，內容包括個資的蒐集範圍與方式、使用方法、存放地點…等，簡單來說，就是瞭解個資的保存或管理機制是否完善、個資是否有保留必要性。

舉例來說，消費者事業群曾經舉辦過「填問卷、抽大獎」的行銷活動，這些問卷勢必含有個人資料，此時，法務與IT要瞭解的是，問卷內容（設計形式）、問卷裡的個資存放在哪些系統、資料管理者是誰、公佈結果的方式（有沒有做資料遮罩或是如何遮蔽）…等。

有時候在討論過程中，會找出一體適用的規則，如：以後個人資料要集中放置放某個共用資料夾，而且該資料夾還要鎖權限、限制存取者身份，此時就會直接告訴該單位並要求遵守。魏安德認為，在做個資盤點時，最重要的是找出資料儲存位置與制定管理方式，像3M就是在個資盤點後，才發現很多個人資料存放在端點（員工電腦）中，必須重新建立資料使用和管理規則。

法務與IT捨棄專有名詞  溝通愈白話愈好

對製造業而言，個資法是一個全新的法律，單靠法務或IT人員都無法做好法規遵循，必須兩者共同合作。法務人員負責員工訓練與法規解釋，如：個資定義、法規管理範圍…等，IT人員則負責規劃因應法律所需要導入的措施，如：系統管理方式、個資檔案分佈狀況、評估現有保護機制是否足夠…等，當然，IT人員在規劃時，勢必會希望知道要做到何種程度，才算是符合法律規範，此時就有賴法務人員給予解釋與回答。

話雖簡單，法務與IT分屬不同專業領域，該如何讓對方理解？魏安德認為，舉例來說，對IT人員而言，ISO 27001是基礎名詞、不需解釋就知道其意思，但法務人員可能根本沒聽過，也不知其代表意涵為何，而法務人員在提到法律名詞（如：舉證責任倒置）時，也要用比較生活化的方式來解釋，才能讓人理解。

目前，3M台灣已完成個資盤點，並制定個資使用與管理機制，只是還沒有文件化（即撰寫個資管理手冊）。由於美商原就重視資訊安全，強調要在合理安全的範圍內使用資料，本身就有極嚴謹的資料保護措施，也規範員工務必要遵守，因此，個資使用與管理機制的建立，對日常作業並沒有太大衝擊，只要掌握好兩個大原則：(1)集中控管、落實權限管理；(2)沒有使用必要性的個人資料，應立即銷毀，就能做好個人資料管理，一旦個資法正式上路後，就著手撰寫個資管理手冊，將相關機制文件化，也讓員工有遵循的依據。