圖片來源: 

Payeasy財務管理處副總經理黃琡雯(左3)表示,個資專案是該公司列為優先的專案之一,透過團隊合作的方式,共同解決各部門執行上的困難點,務求專案按照時程完成。

在2011年8月1日,電子商務業者Payeasy(康迅數位整合)總經理林坤正,帶領甫成立的個資因應小組以及各個部門的一級主管齊聚在15樓交誼廳中,一起舉手宣誓,林坤正要全體員工,都將個資保護視為第一優先的重要任務,並且將盡己所能的確保所有個資的安全性。

Payeasy財務管理處副總經理黃琡雯回憶起當時大家一起在交誼廳發誓的模樣,雖然只是總經理臨時起意,卻讓在場的每一個成員真切的感受到,「個資保護在Payeasy,絕對不是隨便說說、任意做做的一件事,絕對是百分之百、嚴肅看待的優先任務。」她說。

黃琡雯表示,以前Payeasy是隸屬台新金控的一份子,由於金融業向來高度嚴格控管個資,加上Payeasy擁有數百萬名的會員個資,所以Payeasy個資保護的標準一路都配合台新金控的標準前進。

不過,Payeasy公共事務部副總經理陳中興表示,金融產業和電子商務業者的主管機關及產業屬性都不同,適合金融業的標準不一定能滿足電子商務業者,所以,Payeasy也打算要取得經濟部商業司和資策會合作,針對電子商務業者推出的TPIPAS認證,作為階段性要達成的指標。

由於先前Payeasy已經有導入ISO 27001資安認證的經驗,在個資盤點和風險評鑑的方法論上,則採用台新金控的個資保護框架,並運用資策會科法中心提供的工具和內容,釐清電子商務業者的個資資訊流程。

總經理帶頭,授權管理代表執行
在小組成員上,由總經理林坤正擔任最高管理階層代表,但因為林坤正平時會議繁忙,所以委由財務管理處副總經理黃琡雯擔任個資因應小組的管理代表。接著再由各部門主管指派最資深的員工,或者是該部門擁有最多個人資料的員工,作為個人資料保護執行推動小組的成員。

黃琡雯表示,因為個資代表是由部門主管指派,部門主管就會成為個資代表在部門內的靠山,再加上由總經理擔任發起人的個資小組,個資小組對於個資議題與進度規畫,都具有極高的授權與權力,也對部門主管和流程也很有影響力。舉例而言,以往公共事務部會協助許多弱勢的農民銷售其當季的農產品,但這些流程中的個資從蒐集、處理到利用,為了符合個資法的規範,公共事務部則需要重新檢視整個流程並做後續相關的調整。

黃琡雯表示,由於個資貫穿每一個部門的作業流程,主管對於流程細節不見得比資深同仁熟悉,授權更有經驗的資深同仁,反而可以協助個資小組盡快完成任務。

小組成員有雙重角色,既是個資管理師也是部門窗口
Payeasy資訊服務處軟體開發部副理余蘇亞表示,這些在個資因應小組中的成員,要肩負2種角色,一種是個資管理師,要決定內部各種因應方式的方法論和架構,也經常是各該部門內的個資承辦窗口,要協助其部門同仁共同完成相關的任務。換句話說,小組成員都是企業內部推動和宣導個資保護的種子。

除此之外,Payeasy管理部副理劉貴惠表示,要確認組織成員是否落實個資保護,要有第三方稽核單位來扮演客觀中立的評判角色。因此,Payeasy稽核部門成員也是因應小組當然成員,參與每一個流程與環節,建立種種資保護的檢查節點,來落實相關內評與稽核機制。

Payeasy從2011年8月1日個資因應小組的啟動會議後,就開始了「個資盤點」的第一階段;到了2011年10月15日則進行第二階段的「風險分析」;第三階段包含整個管理制度的建置,整個專案運作時間從2012年4月1日開始到同年7月15日截止。

黃琡雯表示,由於管理制度建置完成後,仍必須透過實際的日常營運來找出需要持續調整和修正的地方,並且要透過第三方的稽核機制確認落實情形,今年8月1日到9月30日止,就是內部稽核階段,完成後預計於9月提出TPIPAS的認證申請。

財務出身的黃琡文相當清楚,一個獨立超然的稽核單位,對於企業營運的稽核扮演何種重要的角色,從今年起,原本設立在財務下的稽核單位就和其他上市櫃公司一樣,成為一個獨立超然的單位,「包括個資的在內的內評與稽核,也都成為稽核部門查察的重要節點與內容。」她說。

相關報導請參考「戰勝個資法第一步:成立個資因應小組」

熱門新聞

Advertisement