個資法正式上路已屆滿1年,由於對法條的定義、主管機關態度都還有很多不明確的地方,導致許多企業對於如何因應仍感到不知所措,而統一企業算是少數事先做好準備的業者,其於2013年3月取得BS 10012及ISMS認證,透過管理系統的導入及國際標準認證,逐步建立企業內部個資保護管理制度。
統一企業經理方木星表示,在推動個資保護工作上共有6大步驟:1.成立組織;2.個資盤點與流程圖;3.風險評鑑及改善對策;4.建立管理制度;5.建立內評稽核制;6.調整與建置相關的資訊安全措施。以下針對這六點逐一分述之。
個資保護6大程序
第一步、成立組織
統一企業成立個資安全管理中心,直屬總經理室,藉由高層直接授權,以便順利推動個資保護管理工作。其下設個資召集人一位,由總經理親自指派,再往下分成資訊安全、稽核內評、制度規劃、執行推展四個小組,由於個資保護是管理問題,不單單只是法務或資訊部門的責任,所以執行推廣組乃是依照公司組織編製,每個部門/事業群各派一人而組成,成員人數是四個小組裡最多的,共有 70~80人。「成立組織」可說是個資保護工作中的基礎,有了專門單位專人負責,個資保護工作才能持續且長久地維運下去。
第二、個資盤點與流程圖
接下來則是要清楚哪些是必須受保護的對象?也就是找出企業目前現有的個資檔案,統一企業根據盤點結果歸納出13種個資檔案類型,分別是:通訊錄、教育訓練、合約/契約/保證書、申請作業、健康檢查、訂單/傳票、獎金申請、保險資料、證件/證照、通報處理記錄、人事資料、消費者會員管理、及其他不在前述範圍內的個資檔案。
然後根據個資檔案來描繪該份資料從蒐集、處理、利用、保存到廢棄的做法與形式,例如:資料保存是放在資料庫還是硬碟?起初統一企業採取人工作業的方式,但是非常地沒有效率,完成一份流程圖的時間相當長,因此之後改為利用微軟Office軟體中的Word和Powerpoint當工具,並委託IT人員先行製作出範本,讓其他使用者參考,並搭配教學課程,加快完成個資檔案流程圖的作業時間。方木星強調,在描繪個資檔案流程圖時,最重要的是明確列出跨部門資料的流向及勾稽方式,例如:業務資料由業務部傳送到財務部時,財務部門的保存方式為何?
第三、風險評鑑與改善對策
找出需要被保護的目標後,下一步就是降低企業持有這些個資檔案的風險。統一企業針對可能發生風險的環節設定分數,找出高/中/低風險項目。接著歸納出高風險的檔案資料類型,並列為優先改善對象,例如:含有醫療、基因、性生活、健康檢查及犯罪前科等的特種個人資料;消費者的資料;委外管理資料...等,最後由各部門擬定風險改善對策,並在定期召開的個資管理會議上,要求擁有高風險個資的部門分享其做法。
在降低個資風險過程中,統一企業也發現很多過往處理個資的盲點,像是之前因為舉辦抽獎促銷活動蒐集了很多消費者個資,但是負責處理的委外公司也很多,無形中增加了個資外洩的風險,因此決定將委外作業集中在2家業者身上,並要求這2家委外業者必須接受查核及導入相關管理制度。
另外,人資部門因為很早就在做準備,思考可能發生的問題及解決之道,同時在小組會議上進行討論,所以內部員工資料的問題不大,比較有問題的像是股東資料(因為股務系統委外處理、不容易管控)、健康檢查資料 (分成電子檔和紙本兩種形式,電子檔多半存放在個人電腦中,紙本則是隨意放置在抽屜中且未上鎖),最後擬定的處理對策是刪除資料或進行電子化,然後集中控管。
方木星指出,統一企業對個資有3個基本原則:(1)可以刪除的資料就不要保留;(2)必須留存的個資則儘量縮短持有時間;(3)個資檔案儘量電子化比較容易管理。?了建立使用個資檔案的依據,個資安全管理中心交由IT部門訂定使用原則,例如:資料設定方式、檔案開啟密碼的設定原則、存至USB的原則...等,另外,還訂定資料的刪除年限,而電子化的好處就是可以確認個資檔案擁有者有沒有真的刪除資料。
第四、建立管理制度
管理制度意味著必須建立文件,也就是政策或管理手冊,好讓內部員工有遵循的依據。統一企業總共建立了4階文件,一到四階文件所代表的意義分別是:為什麼要做(Why)、要做些什麼事(What)、如何做(How)、及留存證據(Evidence)。
一階文件(即政策)與二階文件(即程序書)與公司營運方向有關,統一由個資管理中心訂定,例如:個資保護組織管理程序書、當事人權利行使程序書、個資盤點與風險評鑑程序書...等。至於三階文件(即管理辦法/作業說明書)則不一定,部份由個資中心訂定,部份則交由執行單位處理,例如:資訊設備暨媒體管理作業說明書、人員招募作業資料安全管理標準,原則上個資管理中心負責的是,全公司員工都有可能使用到的個資檔案,如:通訊錄管理。最後的四階文件(即表單/記錄)則由執行單位訂定,主要是執行作業 (如:硬碟報廢)時所產生的記錄/表單,提早?日後可能發生的舉證需求做準備。
第五、建立內評稽核機制
由於內稽內控部門原本日常作業的工作負擔就已經不輕了,無法執行全公司個資稽核作業,因此只能負責查核個資安全管理中心,再由個資安全管理中心負責查核執行單位。方木星指出,在人力有限的情況下,統一企業決定培訓各部門所推派的個資委員(也就是執行推展廣的成員)擔任內部稽核員,並由這些個資委員進行跨部門交叉稽核。
?了讓個資委員熟悉稽核作業,個資管理中心從內部挑選出一名曾經做過稽核業務的人,由其擔任內評委員,負責設計個資稽核作業的工作底稿及訂定查核重點,例如:是否合法蒐集?是否告知當事人?保存/刪除是否有適當安全保護措施?委外處理作業有無做好管理及監督?是否進行過教育訓練?遇到需要國際傳輸時,該如何處理?有沒有特定目的外之利用...等。
之後再要求各部門個資委員陪同內評委員進行查核,累積一定經驗後就能進行跨部門交叉查核,並按照每月的稽核規劃表來執行,例如:1月是A部門查核B部門、B部門查核C部門,2月換成C部門查核A部門,確保每個部門都有被查核與接受內部查核的機會。
第六、資訊安全建置
最後這道程序則是由資訊部門主導,配合上述管理制度,重新檢視資訊安全現狀與政策,以確保:
(1) 資訊資產受適當的保護,防止未經授權之存取;
(2) 資訊資產的機密性;
(3) 資訊在傳遞過程中的安全及完整性;
(4) 所有資訊安全意外事故或可疑之安全弱點,都應依循適當程序回報,並予以適當處理。
方木星指出,統一企業在推動個資保護之初,就已經將推動重點定位於「將法律要求轉化為企業內部日常管理工作的一環」,因此特別重視建立員工認知,除了推動初期的教育訓練外,每個月皆發行個資管理電子月刊至員工電子郵件信箱,內容包括法令宣導、新聞事件…等,藉此持續強化員工對個資法的認知。
另外,統一集團旗下目前有好幾個子公司,涵蓋各個產業,每個產業的主管機關不同,對個資保護的要求也就不一樣,舉例來說,7-11統一超商隸屬經濟部商業司管轄,而統一企業是製造業,主管機關是經濟部工業局,因此統一集團採取各個子公司獨立建置個資保護制度、彼此共享經驗的作法,因此統一企業也培訓了12位個資管理種子講師,輔導關係企業,希望能帶動整個集團做好個資保護工作。