建立個資外洩風險管理制度 推動管理循環六大要點
個資外洩風險是因內部流程失效、資訊系統權限設罝不當及人員錯誤等異常事件,造成持有個人資料外洩的風險,其中企業首要面對的個資外洩影響就是商譽受損與高額行政處罰。對此衝擊,企業可以建立個資外洩風險管理制度,依據個資外洩風險管理循環(詳下圖),推動六大要點來降低個資外洩風險發生可能性,分別是(一)訂定個資外洩風險管理政策、組織及職責;(二)進行個資外洩風險辨識,對核心業務及其重要性、涉及個資系統盤點;(三)實施個資外洩風險衡量,以質化或量化評估方式對所辨識的外洩風險執行(機密性、完整性及可用性)衝擊分析;(四)有效回應個資外洩風險,依衡量的衝擊程度來決定因應方式;(五)加強個資外洩風險管控並訂定控制措施,對涉及個資的系統發展及維護安全,以及系統或服務委外管理訂定控制措施;(六)建立個資風險指標,針對個資外洩風險(質化或量化)指標加強管理,例如:涉及個資的資料庫異常存取時間或次數、員工個人短時間內異常存取頻率過高,或非個資存取授權者下載個資;設定超出風險指標的警示值時,則視衝擊嚴重程度情況設置為中度風險或高度風險,監控個資外洩風險變化,並且視風險重大性給與不同的因應措施及處理流程,對個資外洩事件通報應變及情資評估因應、決定行動。另外,企業亦可推動定期實施個資外洩風險自我評估,針對個資保護目標及風險,評估內部流程、資訊系統及人員引發潛在異常事件,以致個資外洩的可能性與影響程度,再進一步評估控制設計與管理程序之有效性,最後依據最終的風險評估結果,訂定個資保護行動計畫。
結論:落實個資外洩風險管理制度、建構個資保護內部控制三道模型架構
企業應遵循個資法,避免人格權受侵害,促進持有個人資料之合理利用,確保合法蒐集、處理及利用個人資料,可以考量自身個資外洩風險情況借鏡金融服務業做法,完善個資檔案安全維護計畫、採取適當安全措施,依據個資外洩風險管理循環六大要點,建立個資外洩風險管理制度並落實執行。同時,考量自身資源,學習金融服務業對個資保護的管理機制,參照建構內部控制三道模型架構,包括內控自行評估制度(第一道角色)、法令遵循與風險管理制度(第二道角色)、內部稽核制度(第三道角色),定位各個角色的分工與交互整合運用,第一道角色為各單位就其組織功能及業務範圍,負責辨識及管理風險,承擔各自日常事務所產生的風險,針對該風險特性設計並執行有效的內部控制程序以涵蓋所有相關之營運活動。第二道角色,其就各主要風險類別負責保險業整體風險管理政策之訂定、監督整體風險承擔能力及承受風險現況、並向董事會或高階管理階層報告風險控管情形,並依其特性協助及監督第一道角色辨識及管理風險。第三道角色,以獨立超然之精神,執行稽核業務,協助董事會及高階管理階層查核與評估風險管理及內部控制制度是否有效運作,包含評估第一道及第二道角色進行風險監控之有效性,並適時提供改進建議,以合理確保內部控制制度得以持續有效實施,以及作為檢討修正內部控制制度之依據。企業在建立內部控制三道模型架構時,應考量各自身營運活動的性質、大小、複雜程度及風險狀況進行調整,確保三道角色之有效性,並且讓三者之間除各司其職外,彼此之間亦相互溝通、分享資訊、層層監督,形塑循環不息的生態系統及公司治理優質文化,最終達成降低個資外洩風險,有效保護個人資料安全的管理目標。
*作者為國立中正大學企業管理學系博士生
