個資盤點企業實例｜鼎新電腦從業務流程追蹤個資流向

在2010年5月個資法法條公布後，鼎新電腦在當年8月就開始著手因應個資法，除了率先成立個資因應專案小組外，也開啟了第一次的個資盤點經驗。只不過，這樣的個資盤點成效不佳，又從2011年3月開始了第二波的個資盤點。

鼎新電腦大型企業事業部總經理，也是個資因應專案小組召集人鄭家麟表示，歷經這兩次的個資盤點經驗，讓該公司對於因應個資法這件事情，更為審慎看待，也將實務上因應個資法的作為區分成四大流程。他說，這四大流程不只是對鼎新電腦有效的流程，也可以做為其他企業參考複製的經驗；而兩次的個資盤點經驗分享，更可以減少企業無謂的摸索時間。

企業擁有個資的數量往往超乎想像

鄭家麟表示，鼎新電腦的軟體產品用戶超過4萬家企業，若以每一家企業聯絡人至少5人來估算，鼎新電腦擁有的客戶個資至少超過40萬筆。而且這些資料往往散布於各個部門，甚至是各個據點。以鼎新電腦目前有1,800名員工，據點分布臺灣、大陸，甚至還有越南等總計28個據點，想要徹底盤點出企業所擁有的個資，並不是一件容易的事。

鄭家麟指出，新版個資法保護的是一般自然人的個資，並非只有提供B2C服務的企業才擁有大量自然人的個人資料，像鼎新電腦這種服務企業為主的產業，所面臨的更大潛在挑戰則是，一間企業的聯絡人平均會有5人以上，臺灣甚至有些大型企業顧客因為部門眾多，從主管到執行業務的同仁數量甚多，鼎新電腦甚至可能會擁有這家企業上百名的聯絡人名單。他認為，企業若沒有經過仔細盤點，許多企業根本沒有意識到，其實企業手上擁有的個資數量，經常是超乎預期的。

Step1：參考個資法細則草案成立專案小組

也因為企業擁有的個人資料超乎企業主的想像，要能夠有效因應的同時，企業勢必得先通盤了解，並掌握自身散落在組織各個流程中的個人資料到底有哪些。因此，企業著手因應個資法的第一步往往是個資盤點。

一般所謂的「個資盤點」其實就是利用人力或IT工具，將手邊擁有的自然人個資依照企業的流程進行清點與分類後，再記載在個資清單中。企業便可以透過這份個資清單，清楚掌握企業內不同部門依照作業流程，究竟會擁有哪種種類的自然人個資。

鄭家麟指出，鼎新電腦在評估個資盤點實際的作法，和對照新版個資法條文與施行細則草案的規畫後認為，新版個資法施行細則草案中的第九條所提及的11項適當的安全維護事項或措施，就是臺灣企業因應個資法的最佳切入點。

鼎新電腦因應個資法第一步，也就是細則草案規定的「成立個資因應專案小組」。鼎新電腦科技系統加值暨服務事業部經理范肇鈞表示，2010年5月新版個資法公布後，同年8月該公司就成立了個資因應小組，總計有7人，以鄭家麟為首之外，另外還有6名副總、經理等職能部門的高階主管擔任專案成員的角色。若以此職能主管繼續衍生，每個職能主管至少下轄20位專案經理。

范肇鈞說，這個7人專案小組主要是制定個資盤點流程的人員，除了真正是公司高層主管外，也因為需要了解公司流程、制定個資盤點時的資訊流怎麼流動，因此包括稽核、IT等，也經常會是重要的核心成員之一。鼎新電腦也因此制定了一份個資因應小組的組織架構圖和專案成員權責圖，例如，個資小組的專案召集人在R/R（角色與權責）的定位上，至少要定位在企業最高管理階層成員，如副總或以上才適合。

這個個資專案小組運作2年以來，鄭家麟表示，成員已經依照需求做過三次的調整了，除了最高管理階層成員擔任小組內最高層級成員外，更重要的是必須要找到對的人，尤其是嫻熟法律的法務和針對流程確認的稽核，都是關鍵角色。

范肇鈞表示，為了達到宣示性的效果，這種高階的個資專案小組成立時，對內應該都要透過公文的方式對全公司進行公告。他認為，透過這樣的宣示性動作，也等於是向全公司同仁昭告公司對於因應個資法的重視。

在2010年剛開始面對新版個資法的衝擊時，第一步先成立個資因應小組，接著就是進行個資盤點。當時鼎新電腦並沒有意識到個資盤點的複雜性，由范肇鈞和法務主管一起制定一張，可以給各個部門參考的空白個資盤點表，在召集各部門主管簡單說明該張空白個資盤點表的使用方式後，便帶回各部門，由部門員工開始清查自己究竟擁有哪些個資，並填寫在空白個資盤點表中。兩周後，交回給個資小組清查。

「嚴格來說，第一次的個資盤點經驗是失敗的。」范肇鈞說，當時公司員工根本沒有意識到新版個資法對於全公司的營運上，將帶來何種的衝擊，請部門主管拿回一張空白的個資盤點表讓同仁填寫時，就只是一個「命令」而已。既然沒有規定到底要寫到多麼詳細的程度，也沒有其他自動化工具可以協助清查的情況下，每一個填表的員工，往往都是以讓自己最省事、最不麻煩的方式來填寫該張表格。

他當時也有統計，大概只有一半同仁認真填寫該張個資盤點表，以業務部門同仁為例，多數人認知業務同仁擁有最多個資，但業務部門盤點出來的個資風險項目只有10多項，比行政部門盤出來30多項的個資風險還少。這次的個資盤點失敗經驗讓個資專案小組知道，只是丟出一張空白個資盤點表，要求員工鉅細靡遺盤點出個資風險是不可行的。

Step2：個資教育訓練擴及全公司每一個人

有了個資因應小組之後，鄭家麟認為，應該把全公司對於新版個資法認知的範圍再行擴大，因此，鼎新電腦接下來的動作是將個資法的認知宣導和教育訓練，從原本的專案團隊擴及到全公司各部門同仁。

范肇鈞表示，鼎新電腦為什麼這麼重視員工對個資法的認知訓練，是因為該公司第一次盤點個資時，曾因為員工對個資法的認知不足而身受其害。

剛開始，鼎新電腦成立專責小組後，接下來要界定個人資料的範圍，鼎新電腦第一個進行個資盤點的部門便從人資部門開始進行。

一開始只有因應小組或少數人對個資法有較多的了解，其餘各部門只是遵照公司要求來推動，但員工自身對個資法的認識其實不足。所以，當專案小組要求人資部門開始盤點個資時，因為人資部門員工手邊都還有其他還在處理的優先任務，范肇鈞回憶，人資部門只能在公忙之餘來處理個資小組的要求，而且往往只是敷衍了事，對於整體個資盤點並沒有正面效益。

這次的經驗後，鄭家麟認為，企業成立專案小組後，為了要凝聚全公司對個資法的共識，必須要將員工的認知宣導和教育訓練從單一部門或團隊成員，並且在最短時間內將宣導範圍拓展到全公司。他說：「因為因應個資法是全公司的責任，所以，必須要全公司都在同樣的備戰狀態下，這場仗才能打的贏。」後來，鼎新要求包含正職和約聘僱同仁、工讀生甚至是保全同仁，都必須參加線上個資法的教育訓練課程並參加考試，至少要80分才過關。

目前鼎新電腦有1,800名員工，對於該公司而言，如何在合法的範圍內使用員工提供的個人資訊，員工的書面授權是最有效的一環。鄭家麟說，或許一般的個資宣導不見得能打動同仁，但是，當公司要求同仁都必須簽署一張遵守公司規定，保護相關個資，也同時是一份同意公司使用員工個資的同意書時，當員工簽完這張同意書後，對於個資的概念也會同時提升。

Step3：依營運流程盤點個資

員工人人具備了正確的個資觀念後，就可以展開個資盤點。盤點時，范肇鈞表示，先由個資小組專案成員分析營運流程，找出每一段流程中所有個資的流向後，例如在這項作業中會有那些個資，那些人持有，有哪些處理或使用情形等動向，再從這些流程產生每個流程中的個資盤點清冊，作為各部門實際執行者的盤點工具。

以鼎新電腦人資部門的個資盤點過程為例，因為鼎新電腦的人資部門只有2名員工，但要處理1,800名員工的資料，鼎新電腦採取分工處理的方式，先由專案小組成員拆解人資部門的作業流程，區分成人事招募流程、員工社團活動、訪客拜訪流程、教育訓練流程，以及人員考核流程，並且將這些作業流程繪製成業務流程圖。鄭家麟表示，通常都是由最熟悉相關作業流程的稽核或其他流程單位負責拆解流程，以示公開公正。

由於不同部門都會有不同的人力招募需求，范肇鈞表示，從人力的招募需求開始，進行簽核流程，確認是否同意開放對外招募。而接下來到人力銀行篩選適合的履歷表時，鄭家麟也提醒，這段篩選履歷的過程中，是否會將履歷印成實體紙本資料，爾後的傳送與銷毀流程，以往也經常被忽略，這都必須在流程圖中清楚記載資訊流向為何。

之後從面試的過程中，確認是否錄取成功的過程，履歷表和個人資料在各個相關部門的蒐集、處理、利用到銷毀的過程中，會依照紙本、電子和資料庫的不同，有不同的對應處理方式。若應徵者成為正式員工，招募過程的流程就告一段落，則進入正式員工的任用流程。

鄭家麟認為，所有的招募流程透過流程圖的拆解，從粗拆解到細，可以讓每一個部門清楚知道整個個資流向往那裡去，這也成為一個可以凝聚大家共識的共通平臺和語言。

若歸納鼎新電腦個資盤點的作法，范肇鈞表示，以業務流程為主的個資盤點，拆解流程後，個資因應小組就針對全公司營運最重要的營運價值鏈部門，例如業務、研發、顧問等總計20多個部門，每個部門先列出最了解部門業務流程的主管、副主管或資深同仁，作為該部門個資盤點的負責窗口。而這些重要的流程就已經囊括鼎新電腦至少80％以上的重要業務流程。

由於這些指定的個資窗口都是最了解業務流程的同仁，這個流程中，到底會處理多少的個資，部門員工對於這些個資是處於蒐集、處理還是利用的階段，這些窗口了若指掌，范肇鈞說，由這些窗口拆解業務與個資流程，部門員工往往難以遁形。

他指出，接著由個資小組和部門的個資窗口負責人，一起繪製出該部門的作業流程，以及所有個資的資訊流向。而部門同仁對於這些同仁處理個資時扮演的角色，究竟是負責蒐集、處理、利用、國際傳輸或刪除的階段，都必須在流程圖中註明清楚。

此外，這些個資究竟是以紙本還是電子形式儲存，甚至是系統檔案存放在資料庫的方式，在追蹤個資資訊流的同時，也必須清楚呈現。他認為，這樣的拆解、追溯個資的過程，可以讓每個部門、每個員工對於經手的個資流向一清二楚，當然，員工對於這些個資應該負擔的權利義務，也會很清楚。

從流程來看，每一個個資流向都有可能經過判斷，例如，需求部門在取得人事履歷後，得先判斷是否符合應徵單位的需求，如果符合，這份履歷就會進入安排面試的階段；若不符合需求，這份履歷就會被判斷為例外狀態，會依照原本的個資經手人和個資檔案形式，進行後續履歷表的個資處理或刪除動作。

Step4：依照風險高低，修補個資防護的缺口

從流程拆解到清查個資，最後會彙集成一份Excel檔案的個資清冊，范肇鈞表示，從清冊中可以對照出，每一個個資流程的控管缺口為何，因為紙本個資也成為新版個資法規範的標的，也必須針對實體紙本個資、電子文件個資以及系統資料庫的個資的可能個資控管缺口進行審視。

發現個資控管的缺口後，就要進行修補。范肇鈞指出，目前鼎新電腦補強的方式是從系統強化、個資系統權限管理，以及個資對應補強管理和強化IT基礎建設著手，針對企業內可能的個資缺口，依照耗費資源多寡、個資控管缺口修復難易程度，以及個資風險危害程度高低等，從作業程序、資訊系統和IT環境三個面向來評估企業優先順序。

「沒有百分之百、滴水不漏的個資防護方式，」范肇鈞說，鼎新電腦的個資因應作法，從第一次的失敗到第二次的成功，都不是一蹴可及的經驗，反而是透過一次又一次P、D、C、A的循環過程，逐步降低企業內的個資風險。

個資清冊實例：業務流程Visio 圖

為了提高部門員工對於業務流程中辨識個資流向的程度，利用Visio流程圖的繪製方式，依序呈現人事招募流程的每一個步驟。

個資清冊實例：個資生命周期表

個資在不同的步驟中，依據個資生命周期會有蒐集、處理、利用和刪除的不同階段，部門也會有相對應的員工負責相關個資蒐集、處理、利用和銷毀的流程。

個資清冊實例：例外步驟清單

在各個人才招募的環節中，若遇到需要判斷是否進到下一個流程時，若為否定階段，可以透過例外步驟的表單，來說明相對應的人員和個資處理方式。在此同時，也會依照檔案紙本或電子型態有不同處理方式。

個資清冊實例：風險因應清單

界定出人才招募的流程和步驟內容後，可以進一步釐清可能存在的個資風險控管缺口，從系統安全、權限、內控、傳遞、軌跡和保存的個資風險類別，去找出現有的控制措施，以及不足之處的因應對策。

［圖表］鼎新電腦個資專案進度表（點此看圖）

相關報導請參考「因應新版個資法的第一步 ：個資盤點」