因應第一步：成立個資因應小組

這部被喻為保護個人隱私的最高憲法，所衝擊到的範圍不但涵蓋各個產業，許多企業對於如何落實個資保護仍是一頭霧水。個資法施行細則第十二條第二項明定，企業為了保護個人資料必須落實的安全維護措施有11項，對於尚未著手因應個資法的企業來說，建議應該要優先推動：

一、配置管理之人員及相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。

簡單來說，要徹底落實個資法，一定要有專責單位，企業應成立個資因應小組，指派負責人員出任個資管理代表，先確認個資使用的特定目的，並進行所謂的個資盤點，針對各式各樣的設備，如USB、隨身硬碟、行動裝置等，都要有明確的使用規範。另外企業更要制定一套合法的業務流程，對於蒐集、處理及利用這三項有明確的流程規範，而最後企業管理階層應該定期開會，評估個資保護制度落實的程度並持續改善。

目前包括ISO認證、BS 10012等國際個資保護標準以及資策會研擬的「台灣個人資料保護與管理制度」(TPIPAS)等，都規定企業必須成立推動小組，以將個資保護作法落實在日常的作業流程。企業若能先成立具有高階主管授權的個資因應小組，透過團隊合作的方式，可以加快因應個資法的腳步。

執行成效關鍵：提高員工個資保護意識

根據iThome調查5千大企業因應個資法狀況，有45.9%的企業開始執行因應措施、30.4%的企業由資訊部門主導因應工作、16.3%企業由總經理擔任個資小組召集人，而今年度企業因應個資法平均將投入271萬元預算。

依產業別來看，金融業和電信業者，因為充分意識到個資保護對其企業營運的重要性，不少業者早已在個資法上路前即成立因應小組來面對新版個資法對企業帶來的衝擊。在對於個資的認知度上，金融業、電信業、物流業(包含網購或電話購物)，醫院及學校的普遍認知度皆高，至於製造業及非主流業者則相對較低。

企業常忙著尋求資安設備的保護來避免可能的個資外洩威脅，但忽略了其實公司內部員工本身也是資安防護的一大漏洞。企業成立個資因應小組要有成效，必須先培養員工的個資保護意識，而組織成員也要納入稽核，尤其對於一線會接觸到客戶資料的客服人員而言，更要有嚴謹的稽核程序。

企業成立個資因應小組後，要推動全公司的教育訓練來提升個資保護意識，內容包括法令宣導、內部規範宣導等，並導入各種驗證或標準，由上而下才能達到風行草偃的效果。因為只有當員工都意識到，個資保護和每一個員工個人權益息息相關，而不只是公司的事時，員工才會比較願意花時間投入在個資保護的相關工作上。

個資保護強化分工執行 全員動起來

程曦資訊執行長黃士軍指出，個資法上路後，可陸續看到企業相關因應措施，包括執行「告知後同意機制」、成立專責團隊統一事權的個資因應小組等，而程曦維運許多客服營運案，包括1999臺北市民當家熱線、職訓局就業服務科技客服中心、及1996內政服務熱線等，對於客戶資料保護尤其重視，亦擬定了相關措施及規劃作法。

黃士軍執行長表示，企業成立個資因應小組皆有其必要性，唯有成立專責組織才能投入資源並達到指揮、推動和監督的功用，持續落實個資保護的安全維護措施。企業要更有效率因應個資法，就必須成立具有高階管理人員授權的個資小組，透過團隊合作的力量，逐步落實個資保護安全維護措施。

然而一般企業個資大多分散在各部門、個資掌控事權不統一，是許多企業因應個資法的共通難題。各部門對於個資法保護強化的規劃作法及分工，大約可分成業務單位、資訊單位及行政單位三大部分，無論任何部門只要其作業與個資法所規定的個資蒐集、處理、利用和國際傳輸有關，就必須在個資因應小組有代表人。

舉例來說，企業許多部門的作業都與個人資料有關，人資部門擁有員工個資與薪資資料，財務部門擁有許多個人財務資料，IT部門實際負責許多個資流程的處理，而業務、法務、產品客戶服務等部門同樣也有許多客戶的個人資料。業務單位主導包括個資管理狀況瞭解、衝擊分析及內部稽核，資訊單位主要負責個資管理制度建置及衝擊分析，行政單位則針對個資管理進行內部稽核。

一般而言，個資因應小組的召集人要由高階主管來擔任，因為個資法勢必會改變許多既有的工作模式，然而多數人是不太願意改變習慣的作業方式，此時唯有擁有實權的高階主管，才能叫得動各部門，一旦遇到不同部門有衝突時，也唯有高階主管才有權定奪。因此也有不少企業是由總經理層級來擔任召集人，高度授權個資因應小組處理相關個資保護事宜。

最後黃士軍執行長也提醒，企業要落實防範個人資料外洩，應持續P(規劃)D(執行)C(檢查)A(修正)的循環，積極檢視相關的資安和個資保護工作與營運流程是否合乎法律規範，將可能衝擊到客戶和員工個人資料的流程都納入控管，符合新版個資法規範，並制定落實個資保護的標準作業程式（SOP）。最後做部分強化與調整，確認對公司相關營運流程是否需要進行調整，即可因應新版個資法的規範。

- 新聞稿有效日期，至2013/03/20為止

上一篇：六天內，東京即將面臨摧毀，百年浩劫立即來搶救
下一篇：【台大慶齡】PMP國際專案管理培訓班第42期