觀點

【國泰世華個資保護經驗分享】遵循個資法 企業欠缺的是管理制度

2013 / 01 / 10
國泰世華銀行營運長章光祖口述,編輯部整理。
【國泰世華個資保護經驗分享】遵循個資法  企業欠缺的是管理制度

台灣從1995年電腦處理個人資料保護法實施後,其實已經有很多組織對個資保護具備基礎概念,然而到了2000年受到APEC、很多個資外洩事件卻找不到投訴對象…等因素影響,政府再一次省思個資保護的重要性,全面檢視舊法不足處並作了大幅度的修正,也就是2012年10月上路的新版個人資料保護法(以下簡稱個資法)。

由顧問公司作第一階段工作

也因此,近2年來企業最關注的課題就是如何遵循新版個資法,某些個資含量高的企業,如:銀行、壽險、電信…等,也已經開始規劃與導入法規遵循機制。

就目前來看,沒有遵循個資法可能會產生以下5種風險:輿論、法律、財務、訴訟、及停業風險,最嚴重的結果政府要求停業。我們在啟動因應個資法專案時,最初認為這是IT部門的責任,但仔細一想未遵循法規的風險,似乎也不是僅僅IT一個部門可以做的事情,這應該是全行各部門要共同面對的問題,不單單只是資訊單位的責任。

既然個資法專案不是一個IT專案,當然也就不是導入幾個資安解決方案,就能完成法規遵循,我認為「因應個資法,企業需要的是一個完整管理制度。」然而,國泰世華一方面要從頭開始檢討個資應用流程,一方面又面臨法規上路時程壓力、無法確認法規遵循度、及無法盤點個人資料等問題,單靠內部資源很難有效解決,因此決定在第一階段的因應工作上,先委請顧問公司協助。

從衝擊面來看,個資法上路可能對企業造成以下5種衝擊:營運流程調整、權責界定、行政檢查、自清與處罰。其中,行政檢查與處罰的部份,並不是掌握在企業身上,而是主管機關或法治單位所做的決定,但是其他3個衝擊卻是可以掌握的,也是我們希望顧問公司能多加著墨的地方。

銀行/壽險個資含量高 作為先期導入單位

決定好由外部顧問協助後,接下來就是導入範圍的界定,國泰金控集團旗下有很多關係企業,除了銀行之外還包括壽險、證券、產險、創投、及投信,子公司是否要同時啟動個資專案?從集團的角度來看,如果每一個子公司都成立專案,專案過程中可能有很多重複的地方。舉例來說,每個子公司都有HR業務,其流程也都差異不大,這就很有可能造成重複投資與人力時間的浪費。

 

因此,我們最後決定由個資含量最高的銀行與壽險兩個子公司作為先導單位,也就是第一期個資保護專案的導入對象,之後再擴及至其他子公司。由於這兩個單位有其特殊性與共通性,在他們做完之後,希望可以達到以下3個目的:
第一、核心團隊與外部顧問學習個資控管導入方式;
第二、其他子公司能夠複製與銀行/壽險相似流程的個資保護措施;
第三、各子公司代表可參加個資教育訓練,加強個資保護意識並瞭解如何進行導入作業。

對於那些沒有參與專案的子公司,我們選擇透過個資教育訓練方式,加強個資保護的觀念與意識,讓他們了解這是怎麼一回事,未來若要導入相關流程,也能比較快進入狀況,所以在專案過程中,也希望各個子公司派代表參與、了解整個過程。

簡單來說,我們面對個資法的態度是,自身不會做的事情,就尋找外部資源來解決,但可以從中累積經驗與學習技術,再擴展到內部更多的單位。況且,法規遵循是一條無止盡的路,當專案完成時不代表法規遵循工作也就結束了,在未來幾年隨著法規更動,相關作業也要跟著調整,但企業不可能一直委由外部顧問公司來協助,惟有把技術掌握在手上,才能有效作好法規遵循。

4個階段性任務 完整建立個資管理制度

決定好導入範圍後,我們將專案分為兩個時程,第一期預計投入1年時間,從2011年10月到2012年9月,主要工作是關鍵環境檢視與評估,由顧問執行關鍵業務之個資管理強化作業,依個資存在的含量評估其風險值,挑選風險高的單位優先推動個資管理系統。

銀行有10幾種業務,真要細分可能高達上百種以上,不可能同時建立個資管理流程,必須找出關鍵性業務先做,對銀行來說,關鍵業務很清楚就是:存匯、信用卡與客服中心,這3種都是個資含量相當高的關鍵業務,所以我們將這3種業務列入第一階段。

至於第二期則是個資管理制度擴展期,主要分成兩個部份,一是銀行/壽險核心團隊將第一期之制度擴展至其他與營運核心相關之業務,另一則是各子公司自行規劃導入個資管理制度,針對特有業務再由顧問協助。前述曾提,銀行有10幾種業務,在關鍵業務建立起個資管理流程後,其他業務可以比照相同方式去處理,子公司也是一樣的做法,當子公司代表參與第一期討論後,就能知道作業方式並自行規劃導入。

在第一期專案時程裡設有4個階段性任務,分別是:個資管理現況瞭解、個資管理衝擊分析、個資管理制度建置、及個資管理內部稽核。乍看之下,這4個任務跟IT沒有太大瓜葛,但是在過程中必須要有IT的協助才能完成,因為現在所有業務都得藉由資訊系統來完成,業務本身看起來與IT無關,但實際上卻習習相關。舉例來說,現況瞭解中的分析業務活動資料熱點與關鍵環境,這邊的關鍵環境就與IT有關,如環境的資安防護夠不夠多,防火牆、IPS、WAF…等夠不夠強。

以下列出在4個階段性任務中,IT所應該做的事情(圖1):
(1) 現況瞭解:分析業務活動資料熱點與關鍵環境;
(2) 衝擊分析:個資管理資訊科技環境分析、個資管理風險評鑑、評估個資管理風險與改善建議;
(3) 制度建置:訂定個資侵害應變及鑑識程序、強化個資管理資訊環境;
(4) 內部稽核:執行個資管理制度稽核作業、調整與改善、執行管理審查。


圖說:圖1、藍底方塊代表IT人員在各個階段所應該做的事情。

 

在整個資訊安全與個資管理藍圖(圖2)中,共分成治理/管理、作業、與調查三個層面,其中在作業層面又可再細分為:基礎資安設施、個資法所要面對的事情(蒐集、儲存、處理、傳輸、銷毀)、稽核軌跡與日誌管控三個部份。企業有很多資安設施可以幫助完成這些事情,但切莫忘記要保存資料Log,而且要顯現出來讓老闆或管理者看得到,也就是將所有資料完整呈現在一個管理平台內,形成一個安檢儀表板是件非常重要的事,另外,在調查層面的數位鑑識蒐證與分析也很重要,這是為了能夠保護企業自身、證明已善盡管理人責任,而必須去做的事。

↑↑ 圖2、資訊安全與個資管理藍圖。


法規遵循:找出風險與成本的平衡點

自從個資法通過以來,很多人會問到底個資法在做什麼?怎麼因應才完備?在台灣,金融業是IT比較完整的組織,這樣的金融業還需要再做什麼個資保護措施嗎?對於這個問題,我的答案是肯定的,尤其經過這次專案後,我發現很多紙本資料都沒有做好妥善的保護措施,我想這也是政府修法的目的,不只是電子資料,紙本資料也要小心保護,才算是有盡到妥善管理的責任。

當然,這樣的說法並不是代表資安不重要,而是有個管理體制更重要,它就像人的大腦一樣,資安工具則像是手和腳,彼此必須互相搭配、缺一不可,如此個資法規遵循才會完整。目前金融業缺的是一個好的管理體制,它是資安、個資管理做好的關鍵,無論是金融業或其他產業,對個資的保護措施應該非常多,但在管理制度上相信未來還有很大的努力空間。

舉例來說,需要有專門人員來做權責分工、不是兼職而是專任,又或者將作業流程標準化,以前因為沒有標準,為了作業方便,員工可以看到客戶所有的資料,這是之前很多金融業個資外洩的原因,也是值得大家去檢討的地方,因為不屬於工作範圍、不應該被看到的資料,為什麼可以看得到?!

我想強調的是,檢視作業流程是一件非常重要的事,在作業流程中只要有一個步驟不小心,就可能造成資料外洩的事實,以前述的例子來看,在流程標準化之餘,若能搭配資料遮罩工具,或是加入一些程式變數,不就能降低資料外洩的風險!因此,管理和技術都是企業在遵循個資法規時必須要去考量的問題。

其實,個資法規遵循就和資安工作一樣,永遠沒有結束的時候,而風險與成本永遠是矛盾衝突,想要風險越低,投入成本就越高,企業必須自己去衡量找出平衡點,不能將法規遵循風險無限上綱,也不能什麼都不做、置之不理,這才是面對新法上路該有的態度。