•     「個人資料保護法」新版已於2012101號正式上路,其適用對象包括了自然人、法人或其他任何3人以上的團體。一旦違法洩露個資,天價的損害賠償金額將對企業方造成嚴重的傷害,甚至可能使企業主蒙上牢獄之災。事實上早在民國84年間,政府便已公布施行了「電腦處理個人資料保護法」,此稱作舊版個資法;而新舊版的個資法之間最大的差異,首先是適用的範圍大為擴張,不再侷限於特定行業以及數位資料,並且加重刑罰,相同原因產生的賠償金額合併計算,最高可以達到2億元,這個金額是舊有法規的10倍之多。另外,新版個資法針對受害方,允許進行「團體訴訟」,此舉昭示未來的官司訴訟將變得更加容易與頻繁,因此對於相關企業來說是十分震撼的。

          個資法主要從蒐集、處理和利用等三個層面,來規範個資的使用範圍;不論是電腦中的數位資料,或者是紙本上的個人資料,全都一體適用。以「百通科技」而言,有一大部分業務為各式帳單及報表的資料處理、列印與裝封等,而這當中包含了數以萬計的個人資料。以往百通科技為了維繫作業品質與資訊處理的安全,前後分別導入了ISO 9001BS 7799ISO 27001認證,並持續系統運作與驗證至今。而為了因應新版的個資法以及提供予客戶更強的交付信心,百通高層於2012年決定導入更加完善的PIMS系統建置,期望能與個資法的相關要求做無縫的接軌,進而提供客戶更安全優質的服務。

          雖然個資法已於去年10月通過並施行,但目前國際上並沒有任何一套標準或規範可供為企業來完全因應新版個資法的系統建置。目前已有許多企業以「BS 10012」作為PIMS系統建置的依循與驗證,但「BS 10012」畢竟是英國的個資系統標準,依循的是歐盟的法規架構,它並無法百分之百完全涵蓋及適用國內新版個資法的法規要求;若欲取得最完善的整體規劃,則勢必需要有其它標準與規範加以輔助。鑒於此,微軟(Microsoft)與國際專業驗證公司SGS策略聯盟,共同推出「高強度隱私保護驗證」服務,由微軟提供隱私保護技術輔導以及隱私風險鑑識,並由SGS負責檢驗企業組織是否符合該驗證,再發放驗證證書,協助企業檢視與證明符合新版個資法法規要求,並藉以降低法律訴訟風險;企業若通過檢驗,將可取得BS 10012以及高強度隱私保護驗證等兩張證書,證書時效為三年,每一年須重新接受稽核一次。就新版個資法而言,微軟與SGS合作的「BS10012+高強度隱私保護驗證」顯然是國內目前強度最高、最完善的驗證體系;因此,百通於2012年決定開始著手導入此PIMS驗證計畫,並於下半年正式啟動系統的建構。

          「BS 10012」是由「英國標準協會」基於OECD(經濟開發合作組織)八大原則及資料保護法對於個人資訊管理制定而來。BS 10012定義了個人資訊管理系統的要求,並確認組織是否能確保有充分且適當的控制措施,以助於保護個人資訊、增強客戶與當事人等利害關係人對於組織在個人資訊管理上的信心。其標準採用「方法論」來建立、施行、運作、監控、審查、維護及改善組織的個人資訊管理系統。BS 10012標準的內容分成第0章到第6章,主要內容按照PDCAplan:規劃,do:執行,check:查核,action:審查及行動)的順序,內容分別列在第3章到第6章。其中,OECD的八大原則,則化身為控制措施,散落在第4章的內容中。BS 10012」是國際認可的標準,可作為第三方驗證之用。

          而微軟與SGS另外規劃的「高強度隱私保護驗證」,則包含了「ISO 29100」、「ISO 31000」及「ISO 27005」等相關標準與要求,其內容與範圍概述如下:

          「ISO 29100」主要是針對管理系統提供個資保護框架的建置方式,並明確依據個資保護要求項目,自個資的「蒐集、處理、利用」過程,能根據個資生命週期的特性,使組織能對於個資達到適法、適切的管理,訂定有關個資安全維護的行為規範。此標準較適用於IT服務業、資訊部門,或是透過網路蒐集個資的產業。

              ISO 31000ISO20091115正式公告的標準,配套的參考標準涵蓋IEC 31010風險管理風險評估技術(Risk Management - Risk Assessment Techniques)及ISO Guide 73,而此標準參考了近期各國對風險管理所發展出來的標準及規範來做為基礎。ISO 31000的正式名稱為「風險管理原理及指導綱要(Risk managementprinciples and guidelines)」,其目的在於提供風險管理的原則及指導綱要,包含各類型、不同規模的組織,讓企業藉以管理其組整體或是個別專案之風險。基於ISO對管理系統標準設計的主流原則,ISO 31000的結構同樣依循PDCA的原則並致力於持續改善;除此之外,ISO 31000還多了「風險管理(risk management)」及「管理風險(managing risk)」二個循環,此二個循環彼此交互為用。

              ISO 27001是資訊安全管理系統的國際標準,而ISO 27005」則是自ISO 27001延伸而來;不同的是,ISO27001對風險評鑑僅有提供原則性的要求內容,並沒有提供實務性的指南內容;換句話說,ISO 27001僅是標準的架構,而「ISO 27005」的內容則是進一步提供實質技術性的支援範本,為組織的資訊安全風險管理提供實務上的執行指南,讓使用單位能從中獲得更清晰的指導與幫助。

          以上為「BS10012+高強度隱私保護驗證」四合一驗證的概略說明。而為了能順利通過這樣完善的驗證並取得證書,百通科技自2012年上半年開始籌組專案,並與微軟的顧問團隊合作建構並導入PIMS;其間經歷了包含公司同仁間的訓練與宣導、軟硬體系統的建置、管理流程的導入、個資盤點、內部稽核、上下游協力廠的教育以及客戶間的溝通協調等等過程,在專案成員、全體同仁及輔導顧問將近一年的努力下,終於在2013年上旬順利通過SGS檢驗的BS 10012及高強度隱私保護驗證,也讓「百通科技」成為業界第一家通過SGSBS10012+高強度隱私保護驗證」的企業。雖然過程十分艱辛,最後終能嘗到收割的甜美果實;但我們絕不自滿於此,畢竟驗證只是過程,唯有秉持PDCA持續改善的循環,精益求精,方能持續提供客戶最優質安全的服務環境,也是百通能永續經營的最佳承諾。

      撰寫/楊家杰