鼎新電腦      
鼎新電腦贏在數位價值
管理思維
如何準備
媒體報導  
 
管理思維  
 

鼎新因應個人資料保護法施行之現階段因應作法
<鼎新電腦技術規劃部 范肇鈞經理>

不論對象是企業員工或是顧客,企業都不應辜負這兩者對企業的信任,
因此鼎新會對個資保護,持續不斷努力

  2010年4月27個資法修法三讀通過了,並由總統於5月26日公布修正,讓所有關心個資保護的人士感到意外與驚喜,畢竟在之前整體環境之中,對個資的使用只能用”極不尊重”來形容,經手人員和單位為求方便或達到目的,未有對等的保護意識或作為不說,有心人士對個資的蒐集與利用甚至幾可說是無所不用其極,造成你我在社會上都須時時刻刻提心吊膽,以避免因個資落於惡意人士手上對我們造成衝擊,因此個資法的三讀修法在有心人士的大力推動下快速通過,雖然聽到的聲音都是有點措手不及,但大體來說實為大眾之福。

  面對個資法一共6章56條的法條看來不多,但事實上要求的是非常的嚴格,許多原本業務就會經手大量個資的企業完全不知如何著手因應,筆者身為鼎新電腦個資法因應小組之專案負責人,在此分享目前已進行完成之個資因應階段作為,分享與企業朋友,希望能藉由保護作為的方法交換,縮短企業朋友們因應個資法時的準備時間。

個資法因應小組成立

  鼎新個資法因應小組,由總裁於去年8/13發布,任務有二,其一為協助鼎新自身避免或降低到個資法的相關衝擊的風險,如罰款、罰金、賠償、訴訟等,其二為協助企業客戶能對個資法有妥善了解並及早因應,畢竟如十號公報、ECFA、IFRS、百年序等等趨勢議題均已協助企業客戶提早採取相關作為,降低衝擊點。小組成員由張副總裁擔任專案督導,鄭總經理擔任專案招集人,成員為跨單位依專業能力招集組成,屆此,鼎新個資法因應小組之專案目的與成員大致底定。

個人資料盤點

  ISMS的經驗告訴我們,要做到安全,一定要先知道自身有哪些需要保護、值得保護的資產,對應到個資的保護,當然首要的就是找出企業內究竟有那些個人資料存在於那些部門、系統主機、個人電腦,甚至是文件檔案。因此在2010十月時,招集了鼎新全省各部門的種子人員,現場進行個資保護的基本訓練,並加入個資盤點步驟與說明,請各單位種子人員回部門後盤點出所有的個人資料,提供專案小組進行個資統整與分析,此部分執行上由於有可能特定單位因對部門個資之認知尚不足,由個資法因應小組提供協助完成盤點工作。

表一、個資盤點表

鼎新員工個資保護意識建立

  個人資料要做到滴水不漏並非易事,必須從全體員工都有相對保護意識做起,因此針對個資議題,首先就是在各個分公司的主要動線上張貼海報宣告個資因應的作為與進度,讓員工了解公司對個資法的重視。

  再者,由專案小組中的鼎新法務提供內容,委由集團內之數位內容中心協助製作成為數位教材,提供台灣全體員工進行個資法基礎認知線上課程,並在內容中針對鼎新特性加入個資要求與保護意識,不僅要求所有人必須完整閱讀完線上課程,並須通過線上測驗,鼎新全省六個據點1254名員工,於12月完全達成目標,並保留所有人員之閱讀紀錄與測驗成績,未來並會每年進行一次,以將個資保護之意識深達所有員工內心。


圖一、個資法宣達海報--主要動線1


圖二、個資法宣達海報-主要動線2

企業營運流程優化

  原鼎新之各部門均有其流程,彼此互不相關,造成部分資源流通但未集中控管,各自為政的情形造成營運成本之提高,並讓資料透過許多管道使用並無法稽核管控,因此個資法因應小組透過公司稽核將各營運流程的稽核重新整理,以達成營運目標為主,將資源集中,流程一致化並最簡化,在其中找出對應的個資項目。

控制措施實施

  在流程優化過程中與該營運流程之窗口進行深切互動,並給予個資保護之因應任務交付,事後稽核實行狀況並留存紀錄,以供未來查驗。針對共用性系統將統一於流程優化完畢後偕同共用系統之管理人員(如資管)一併執行。

外部個資因應作為

  統一個資相關聯繫窗口,由特定單位人員執行,並在公司網頁上加入隱私權保護聲明(http://www.dsc.com.tw/event/WB001790/WB00179001.htm),強調鼎新電腦之個資保護義務、責任與合法作為等訊息。
公司所有會蒐集個人資訊之管道,均會加上個資保護聲明說明特定目的及相關事項,並提供個資聯繫窗口供個資當事人聯繫使用。

強化現有安全系統與權限審核機制

  此部分主要將各主要存放個資的系統,參考ISO 27001 A.11的Access Control,並遵循Least privilege(最低特權原則),僅給予最低需求權力,及Need to Know(僅知原則),只給最低且必須要的知識等兩大原則來進行存取權限的管控,以縮小發生狀況時損壞範圍擴大並能防止未經授權存取。

  針對目前的重要系統的因應,如CRM系統未來將進行整合,強化資料的即時與正確性,並強化其縱深防禦,避免未經授權存取之風險。

宣告、責任與合約制定

  在所有的員工聘用合約、委外合約、以及顧客服務相關合約,均由鼎新法務重新審定內容與條款,調整加入有關資料保護之要求,以求在所有聘僱關係、委外關係、顧客關係等等都可以做到個資保護的告知義務與基本約束。

  以上是個資法因應小組在鼎新已經執行並有一定成效的部分,先與各位企業朋友分享,執行過程中專案小組其實有許多的困難需要克服,尤其是跨部門溝通難度相當的高,如何在不企業營運影響最小化的方式中取得資料保護的最大化是專案小組最巨大的挑戰。然個資防護甚或防止企業機密資料外洩是需要不斷改善加強的,後續還會需要許多的作為,目前鼎新仍在其中持續努力,期望能提供員工、顧客能有值得信賴的雇主與企業合作夥伴。

  回過頭來說,面對個資法的要求,所有執行個資因應相關的企業,目前所做的一切努力只不過是在修補原本該做,但還沒做好的保護措施,不管是企業僱員、或是廣大的消費客群,將資料交付給我們企業保管,除了期望達成雙方的契約、合作或業務等關係的目的,也無非就是「信任」二字。對企業而言,不管對象是僱員或是顧客,都不應該辜負信任企業,而將重要資料交付的僱員或顧客,因此鼎新會對個資保護,持續不斷努力,後續還有很多需要努力的部分,屆時再與企業朋友一同分享,共同降低個人資料面臨風險的機會。


 

回上一頁