在國內發生一連串個資事件後,公司高階主管決定延攬一位個資專職人員,一方面免得大家像瞎子摸象,做完個資盤點就不知道風險評鑑該如何做,再來也是希望我多花些心思在資安上面,想想這也是好事,這幾個月個資、資安兩頭忙,連身體健康也都出了警訊。新進的這位個資人員聽說學經歷都不錯,以前還曾在某管理顧問公司任職,但第一次的工作會議卻讓我開了眼界。
會議一開始,新進的同仁就說:「我是剛剛報到的S,主要負責個資業務,以後所有和個資有關的議題,都要經過我的同意。」不知道是不了解公司文化,還是人格特質,初次面見就擺了好大的官威。
S又繼續說:「我有看過你們之前的個資盤點表,那一張問題很大,和我們以前在顧問公司用的格式都不一樣,你們也許不知道,我過去在顧問公司的時候,曾經協助幾家客戶導入個資相關的驗證,所以你們那張盤點表,以驗證的標準來說一定無法通過,我會把我們公司以前用的表格再給各位,各部門就照著新的表格重新做一次盤點。」
「到底有什麼地方不一樣?公司的政策也沒有說要做驗證,怎麼突然又冒出這樣一個專案,更何況個資法或是施行細則也都沒有說個資要怎麼盤,為什麼原來的盤點方式會有問題?」
「基本上這種標準都是國際認可的,所以只要照著驗證的條文做,就一定符合個資法要求。你知道當初我在那家顧問公司的時候,所有的方法論都是我在設計,還把個資保護原則、要點都考量進去,更重要的是我剛才提過,那是有驗證公司背書的,幾個客戶都拿到證書了,所以這個方法論是不會有問題的,我甚至還可以告訴你,每張表單是符合條文第幾條在設計的。我會說服高階主管一定要去做驗證,你怎麼可以質疑我的方法論呢?反正就是要照我們以前公司的方式去做,不然公司請我來是幹什麼的?」
「那碰到一些與個資法有爭議的情形,要怎麼處理?」
「我們公司不是有法務部門和法律顧問嗎?這些與法條本身有關的問題就交給他們去處理,這不是我的工作範圍。」
看來又是一個只會固定方法的顧問,姑且不論他所說的方法論是否真的是他所設計,畢竟顧問公司與一般企業的立場完全不一樣,怎能發出「只要和他以前使用的表單不一樣就是有問題」的言論。
更何況每個公司都有自身的策略與文化,不可能所有單位都用同樣的表單及解決方案,如果是這樣,那我不如再等上一段時間,相信網路上一定可以找到類似表單,到時候再來改一改公司名稱,不也是像不像三分樣嘛!不過不在其位,不謀其政,我還是別多說、管好我的資安比較重要,不然我可能是下一個代罪羔羊。