[資訊安全]個資法對企業有什麼影響

[資訊安全]個資法對企業有什麼影響
何謂個資法?
個資法中我們應該留意那些內容?
個資法實行後企業如何因應?
企業要投入多少成本才對?
實務上有沒有案例呢?

最近在弄個資法相關的議題,花了點時間稍微整理了一下相關資料,這邊提出給大家參考,其實相關的資料在iThome的個資法專欄中都有彙整清楚,我這邊只是再把我看到的資料做比較結構性的彙整。

何謂個資法?
參考這兩篇:個人資料保護法個資法施行細則與七大方向
首先我們必須要了解這個新版個資法中到底包含了哪些內容,但這些法條都太生硬有些難懂,所以建議可以看看下方的資料有助理解。

個資法中我們應該留意那些內容?
參考這篇:個資法來襲,你必須了解的12個關鍵問題
12個關鍵問題其實已經清楚的告知我們在個資法中該留意的面向,接著再往下看企業該如何因應。

個資法實行後企業如何因應?
參考英國BS10012個資保護的10大實務作法

我們從作法中其實可以看到,個資法絕對不是只影響單一面向,而是可能會改變整個企業的業務流程,每個員工都有可能會牽扯到個資問題,因此對個資的保護就有如對品質的要求一般,應該是全面性而非片段的,我們知道對品質的要求愈高,連帶的成本也會提高,因此如何在安全與成本間個考量呢?可以看下面這篇。

企業要投入多少成本才對?
因應新版個資法,企業應投入多少經費才合理?
100%零缺陷的投入的成本可能是99%的100倍,而要確保個資100%不會外洩可能是確保99%個資不外洩的100倍,這在實務上幾乎是不切實際的,因此我們必須要理解企業中每個個資保護的優先次序及其影響性,在可擔負的成本風險下進行保護。

實務上有沒有案例呢?
可以參考:日本NTT Data如何拯救個資外洩博客來用10大心法因應個資法衝擊

其實上週在公司內談完個資法對企業的影響時,突然覺得似乎處處都有陷阱,如果沒有想清楚可能會在不自覺中違反個資法,舉個例子來說:身為公司內的MIS,負責幫公司開發一套客服系統,裡頭會存取所有客戶的個資,而在系統中可能還提供了客戶資料匯出的功能,這個功能可能被客服人員透過eMail的方式寄送給企業外部的人員,這時候這些個資就算是外洩了,受侵害可能隨時會向貴公司提出訴訟,而貴公司就要開始進行舉證,但該如何舉證起呢?而若要防範同樣的問題再次發生,你該如何做呢?我想這兩個問題留給大家去思考吧。

游舒帆 (gipi)

探索原力Co-founder,曾任TutorABC協理與鼎新電腦總監,並曾獲選兩屆微軟最有價值專家 ( MVP ),離開職場後創辦探索原力,致力於協助青少年培養面對未來的能力。認為教育與組織育才其實息息相關,都是在為未來儲備能量,2018年起成立為期一年的專題課程《職涯躍升的關鍵24堂課》,為培養台灣未來的領袖而努力。