个人资料保护及资讯安全管理探微.pdfVIP

個人資料保護與資訊安全管理探微 摘要： 在標準化之過程中，每一分標準的頒布是因或是果，是一個標準化趨勢之契機或是成績 ，標準化之過程是瞭解標準的「為何」暨「如何」等探索時代脤動之綱目，「標準」從長遠 的角度來看，是標準化過程中之里程碑。 隨著個人資料保護法在2010年5月26日之公布，個人資料保護的資訊安全管理議題已成 為 眾 所 矚 目 之 焦 點 ； 根 基 於 此 ， 本 文 以 國 際 標 準 組 織 (International Organization for Standardization，簡稱ISO)已頒布與進行中的資訊安全管理系統(Information Security Management System，簡稱ISMS)之標準及標準化的工作項目為核心，探討並提出合規於個人資料保護之 ISMS標準化以及擴增控制措施實作的方法。 關鍵詞： 1. 資訊交換(Information Exchange)。 2. 資訊安全管理系統(Information Security Management System)。 3. 資訊分享(Information Sharing)。 4. 個人可識別資訊(Personally Identifiable Information)。 5. 標準化(Standardization)。 壹、前言 2010年4月27 日立法院第7屆第5會期第10次會議通告：將「電腦處理個人資料保護法 」名稱修正為「個人資料保護法」，並修正全文，2010年5月26日業經總統公布[1] ；其中 如表1.1與表1.2所示，各個目的事業之已公布的法規及進行中之標準因涉及表1.3的財務風 險，個人資料之資訊安全管理已成為眾所矚目的資訊安全議題[1~5] 。 表 1.1 個人資料保護法與資訊安全管理 1. 公務機關： 第１８條：公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防 止個人資料被竊取、竄改、毀損、滅失或洩漏。 2. 非公務機關： 第２７條：非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個 人資料被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維 護計畫或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主 管機關定之。 表 1.2 研修(個資法)施行細則之時程(隨時修正) 時程 6 月 7 月 8 月 9 月 10 月 11 月 12 月 100 年 法務部公 ＊ 聽會 目的事業 機關彙整 ＊ ＊ ＊ 研議 第一階段 ＊ ＊ 會議 第二階段 ＊ ＊ 會議 第三階段 ＊ 預告公聽 資料來源：黃荷婷 (2010) 新版個資法施行細則預告與釋疑(簡報資料)，2010 年 6 月 22 日。 表 1.3 隱私權集體訴訟案例 1. 資料來源：2010 年 9 月 5 日，聯合報 A9 (國際新聞)，鍾玉玨/綜合 4 日外電報導。 2. 美國加州舊金山一份法庭文件顯示，因一宗觸犯隱私權之集體訴訟，Go