首頁 > 焦點新聞

[專訪]面對新版個資法 企業應儘速取得TPIPAS認證

作者:編輯部 -2015 / 02 / 02 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

    新版個人資料保護法從2012年10月正式實施至今已經超過2年,不少企業為避免受到最高達到2億元的罰款,很早就依照條文中規範實施個資盤點,以及執行各種防護措施。只是在個資傳輸管道多元的狀況下,紙本文件無論傳遞、儲存等等,都必須進行全面而詳盡的管理,至於電子儲存媒介更因資訊系統可能存在許多種漏洞,而可能遭受駭客攻擊,因此還得引進多種資安設備協助,才可能符合個資法規的要求。

    因為在個資法第二十七條中,已明白規定非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。否則企業一旦發生個人資料外洩事件,在隱私意識抬頭下,權益受損的消費者勢必會向法院提出高額求償,除會面臨高額罰金之外,公司整體形象亦會受到負面衝擊。

    只是進行個資盤點與建立個資防護的難度頗高,且可能影響業務運作,因此有不少企業至今仍抱持著觀望的態度,欲等待第一個個資法判例出現後,再決定後續是否要在落實個資法的各項要求。

    SGS國際驗證服務部資深評審專員曾蕙瑜表示:「個資法首宗賠償案例已經在2014年10月出爐,某連鎖業者因未依照會員要求刪除資料,並持續發送促銷資訊,而被判罰26,000元。因此尚未完成個資法適法性調整的台灣企業,建議可以依據臺灣個人資料保護與管理制度規範進行制度導入作業,由申請取得TPIPAS(臺灣個人資料保護與管理制度規範)驗證著手,再朝通過BS10012:2009驗證為最終目標。」

借重第三方獨立機構 可降低個資外洩風險
    在個資法第二十七條中,規定企業對於個資應該採取適當之安全措施,至於施行細則第十二條則對必要措施做出清楚的定義,包含配置管理之人員及相當資源、界定個人資料之範圍、個人資料之風險評估及管理機制、認知宣導及教育訓練、個人資料安全維護之整體持續改善等,共11項。

    但因個資法實行細則並沒有明訂企業執行11項安全措施的詳細作法,因此有部分企業是採取自行審核的方式,但此舉卻也容造成個資防護上的漏洞,一旦因人為操作上的疏忽,發生會員或消費者資料外洩的事件,法院還是可能認定企業沒有善盡保管人責任,而給與較嚴重的裁罰金額。因此,SGS建議企業用戶應先尋求第三方驗證機構協助,先進行個資法規遵循性查核(PCA),再進一步取得TPIPAS、BS10012:2009驗證。

1
推薦此文章
4
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…