個資盤點的3大原則

既然施行細則草案中的安全維護事項，已經將企業應該做的個資盤點列為必要，企業就得開始審視，個資盤點到底應該從何著手才是？範圍應該如何界定？都是企業面對個資盤點時最迷惑的部分。

個資盤點的困難在於過於分散

要符合個資法規範，得先行掌握企業內部到底擁有多少個資，才知道需要保護的標的為何，並在合理的資源應用範圍內，採用最適當的個資保護方式。

根據「iThome 2012年CIO大調查」，臺灣多數企業都認為，新版個資法所面臨最大的困難與挑戰就是「個資分散在各部門」（39.8％），其次為「因應個資法為視為只是IT部門的責任」（37.7％），第三名是「缺乏一勞永逸的因應作法」（30.2％），第四名為「高階主管對個資法的了解不足」（26％），第五名則是「投入的人力和資源不足」（23％）。從上述五點都可以發現，第一名和第三名的困難，都和企業應該如何落實個資盤點息息相關。

若從其他產業別的數據來分析，包括金融業、服務業和醫療業面臨的最大挑戰都是「個資分散各部門」；對於高科技製造業、政府與學校都是排名第二名的困擾，只有對於一般製造業而言，個資分散在各部門的問題，並不在其面對的前三名挑戰排行榜中。從這份調查中也可以發現，「個資分散各部門」是企業進行因應個資法時的最難的關卡。

盤點原則1：個資盤點要涵蓋全公司的業務流程

信義房屋集團資訊長蔡祈岩表示，法律規範其實是道德最低標準，公務機關只需要做到依法行政就不會有問題，但對於非公務機關而言，既然要做個資盤點，一定得要全公司每個部門，都對其業務流程是否擁有個人資料進行盤點。

蔡祈岩說，唯有當企業全部流程都盤點過一次後，就知道哪一些業務流程看來很複雜，其實並沒有個資在內，哪一些業務流程看來很簡單，但個資含量其實很高。若能夠透過流程圖顯示個資流向，也將更為一目了然。

臺灣勤業眾信（Deloitte）企業風險管理部協理曾?表示，一般對於輔導的企業都會建議從業務流程開始尋找、分析其所擁有的個資到底有多少。

曾?說，透過畫分業務流程，針對個資的資料流向、傳遞方式、記載類別、活動控管等方式，可以清楚區分清楚後，透過Visio的流程圖繪圖方式，將所有的業務流程清楚界定，一目了然。當然，中間如果遇到跨部門流程的個資流向產生疑義時，就需要進行跨部門的溝通，也必須同時在這個流程圖中清楚的界定出來。

曾?指出，這個流程圖就是勤業眾信所謂的BIF（業務流程框架），而透過勤業眾信開發的工具，已經可以做到自動化將BIF轉成個資清冊的Excel檔案了。另外一種情況就是，部門業務流程清楚也少跨部門作業者，就可以以部門別做個資的業務流程分析。

盤點原則2：個資類別比數量更為重要

很多企業非常在意個資的數量多寡，只有個資數量夠多，才會吸引企業的重視。但是，蔡祈岩卻認為，個資盤點時，要掌握個資的類別比掌握個資的數量更為重要。如果能找到的個資類別越多，表示企業進行個資盤點的流程拆解的越細緻，越不容易因為遺漏的業務流程而漏盤相關的個資。

蔡祈岩舉例，很多企業會架設官方網站吸引會員加入，許多企業的網站伺服器內就隱藏有很高的個資含量。不過，即便網站資料庫的會員個資數量已經超過一百萬筆，但在他的認定上，如果該份個資的來源、蒐集、處理、利用和流向其實都是一樣的，在企業進行個資盤點時，就可以把這一大類的網站伺服器的會員資料視為同一類的個資來看，而且，不論其數量多寡，其風險對應策略都是一模一樣的。但他也提醒，只要蒐集、處理或利用有任何一個環節有差異，就應該視為另一類的個資看待。

盤點原則3：個資盤點是持續性工作，而非做一次就好

不過，勤業眾信（Deloitte）會計師事務所副總經理萬幼筠也提醒，很多企業為了因應新版個資法的施行，開始在進行各部門業務流程的個資盤點，但個資盤點不是「只做一次」就可以大功告成、永遠不需要再調整的工作項目。

萬幼筠強調，只要企業的組織有新的異動，部門同仁業務有新的調整，公司營運項目有新的增減，對於個資法規定的個資盤點流程而言，只要經歷過類似上述業務、組織或作業流程上的變動時，企業就必須重新進行一次個資盤點。當然，相較於第一次進行的個資盤點而言，因為異動而必須進行的個資盤點內容，所花費的心力就沒有像第一次執行時那麼勞心勞力。

他舉例解釋，曾經有一個金控公司做完個資盤點後，就面臨到組織改組，當時該金控重新進行一次個資盤點，盤點結果與組織異動前的結果相同，萬幼筠指出，這也證明了，原先該金控每一個業務流程所進行的個資盤點，沒有遺漏任何業務流程環節的個資。「這種因為組織變動而必須重新進行的個資盤點，也是一種個資盤點的QA（品質保證）和驗證過程。」萬幼筠說。

個資盤點也有自動化工具可用，但仍無法完整清查

勤業眾信（Deloitte）會計師事務所副總經理萬幼筠說：「企業因應個資法時，個資盤點是其中最花時間和人力的關卡之一。」為了能夠提高企業執行個資盤點的效率，有許多企業都在尋找自動化個資盤點的工具。

目前市面上，已經有網擎資訊提供首款支援正體中文的自動個資盤點雲端服務P-Marker Cloud，目前只提供單機版的掃描服務，仍無法做企業大規模部署。

透過在單機安裝用戶端程式後，可以針對每一臺電腦個資檔案進行的自動化盤點，盤查的個資欄位，則有姓名、身分證字號、市話號碼、地址、信用卡號碼等7種，平均半天到一天就可以完成盤點；也可以針對檔案中包含的個資筆數和類型畫分風險等級，並產出報表。

但目前尚無法盤點郵件內容。P-Marker Cloud支援微軟平臺執行個資盤點，包括Office、txt、CSV、HTML、XML、PDF、RAR和ZIP檔案的掃描，除非該檔案受保護，必須另外輸入密碼，不然都可以順利支援。

不過，鼎新電腦科技系統加值暨服務事業部科技規畫部經理范肇鈞表示，他曾經嘗試使用P-Marker Cloud來盤點電腦中的個資，效率雖然不錯，但判別不精確，例如盤點結果會出現金庸小說中的張無忌，都讓使用者必須另外進行人工查核。

網擎資訊產品經理王銘賢表示，P-Marker Cloud可以針對姓名、身分證字號、信用卡卡號、地址、市話、手機號碼和email等欄位進行個資盤點，如果使用者只勾選盤點姓名一個欄位的話，的確會出現張無忌、楊過等個資。但他說，使用者也可以設定多種資料類型的交集，同時具備2個條件以上的個資才列入盤點的項目中。此外，王銘賢表示，系統提供使用者自訂低、中、高和極高風險，低、中和高風險可由使用者自訂上述七項個資欄位中，找到的個資總量設為低、中和高的風險值；至於極高風險的設定，可由使用者自訂幾個欄位個資的交集，並符合多少數量以上的個資列為極高風險。

另外，萬幼筠說，勤業眾信顧問公司預計在8月份對外公開一套淬取企業個資的盤點方法論，企業只要遵照訪談的流程內容，並依據同樣的Visio流程圖的繪製原則，就可以清楚得知企業個資的流向。勤業眾信將提供一個個資清冊的產出服務網站，可以將企業透過Visio繪製個資流向的數十張到數百張BIF流程圖，自動轉換成個資清冊以便盤點時的查驗之用，企業就不用費時自行製作。

目前市面上已經有網擎資訊的P-Marker（上圖）可以協助企業針對電腦檔案進行個資盤點，勤業眾信則預計八月提供個資盤點的方法論（下圖），並可以透過自動化工具，將個資流程圖轉成個資清冊Excel檔。

相關報導請參考「因應新版個資法的第一步 ：個資盤點」