臺灣安麗高度重視個資法,由總經理陳惠雯帶頭成立專案小組,並且納入年度營運目標,在去年就已經率先取得超過8成會員的個資使用書面同意。

根據「iThome 2012年CIO大調查」,資訊主管普遍認為企業因應個資法的三大困難之一,就是把「個資保護視為是IT部門的責任」,然而個人資料其實是充斥在企業的各個部門與各種作業流程中,這件事就算全權交由IT部門來處理,資訊主管也不見得有辦法擺平各部門之間的角力。

這突顯了一件事,企業因應個資法應該由高階主管帶頭做起。在臺灣安麗,就是由總經理陳惠雯領軍做個資保護,效果則完全不同。

臺灣安麗從2009年就開始因應個資保護,比同業或其他公司都來得早,而且在總經理帶頭擔任專案發起人之下,不僅具有強大的宣示作用,個資保護議題也納入了年度營運目標。

陳惠雯表示,客戶信任是直銷業最重要的核心價值,而保護客戶個資則是贏得客戶信任的具體表現之一。身為臺灣最大的直銷公司,臺灣安麗旗下有31萬名直銷商,因此個資保護措施就不只是針對5百多位員工,而必須把31萬名直銷商也都納入。

臺灣安麗早在2009年10月就成立資安專安小組,開始評估如何因應個資法。等到2010年5月26日總統公布新版個資法後,陳惠雯便以總經理的身分,擔任「個資保護強化專案」的發起人,而每個部門也都有經理、副理以上層級的代表加入。因應個資保護也列為公司營運年度的重要目標,負責的部門同仁都列為績效評估項目之一。

在2011年3月,當其他同業都還在觀望個資法何時正式實施時,安麗已經透過舉辦活動的方式,在3個月內取得26萬名會員與直銷商的書面同意(占84%)。臺灣安麗業務處資深業務管理經理連惠瑤認為,這些是需要跨部門合作和資源投入,若不是總經理帶頭決策,效果不會這麼好。

個資保護是資安管理流程的再優化

「既然躲不過(個資法),那就正面擁抱它吧!」陳惠雯說,企業做好個資保護,是一個重大的責任,雖然過程有許多繁瑣的事項,但只要能將心比心,當成是保護自己的資料一樣,就能秉持同理心做好個資保護工作。

安麗將個資保護定位為「資安管理的再優化。」陳惠雯認為,該公司原本就有一定的資安管理機制,但當時並沒有針對個資保護設計相關保護流程與檢核關卡。隨著個資保護成為企業不能迴避的重要任務時,重新定義企業所需的個資保護流程,認真的把這個流程當一回事並且切實執行,效益就會回饋到公司的治理上,形成一個正面的循環。

連惠瑤說,因應個資保護的每一個階段、每一個部門該交的任務清單,都會由專案經理事先發信通知截止日期,每2周的周會中,揭露每個部門的執行進度,共同討論遇到的困難點並找出解決方案;每2個月,在公司的高階主管會議中,也會報告每個部門因應個資保護的執行進度,以及需要總經理出面解決的項目。

8階段落實個資保護

 階段1  啟動「個資保護強化專案」

安麗早在2009年10月就已成立資安專案小組,並在這個基礎上因應個資保護相關事宜。連惠瑤表示,新版個資法公布後,安麗在2010年7月~12月開啟「個資保護強化專案」,執行隱私權衝擊分析(PIA),制定個資外洩緊急應變計畫,以及相關應變流程。

 階段2  導入個資保護認證

原本臺灣安麗在2010年11月希望能申請經濟部商業司的隱私權標章認證制度TPIPAS,但該制度僅限電子商務業者申請,因而安麗改而導入BS 10012標準,連惠瑤說,以此作為公司個資保護的框架,個資保護就會更有效率,並做到有跡可尋。

在此同時,安麗也在直銷商申請表新增一個獨立的書面同意書區塊,要求新加入者表達是否同意在特定目的內供安麗使用個資。

 階段3  舉辦抽獎活動,徵求個資使用書面聲明

對於舊會員與直銷商,在總經理陳惠雯的支持下,安麗則透過回函抽獎的方式,取得書面同意。對於直銷業獨有的特性,組織型直銷商為了經營組織,會需要看上線與下線的業績資料,安麗也同樣給直銷商選擇的權利,若不同意揭露業績相關資料給上、下線時,上、下線在進行系統查詢時,系統上就會以「X」符號顯示。

連惠瑤說,活動回函成效良好,同意使用個資比率高達84%(約26萬人),不同意則不到1%。

 階段4  強化企業內部資安控管流程

從2011年3月~11月,安麗開始提升內部資安控管流程。連惠瑤說,個資小組討論需要強化的控制措施,例如,提升密碼強度及更換密碼天數等,決定後再由IT部門協助調整系統;同時也強化權限控管,規定只能使用加密隨身碟存取公司資料。常見的網路磁碟暫存區,從以往1、2個月才清空,改為每周定期清除。

 階段5  持續性的個資保護教育訓練

安麗一直透過月會、周會與安排各種教育訓練,來強化員工個資保護的意識。陳惠雯認為,員工的個資保護意識是最基本的,每位同仁上課都要簽到,而且還要考試,測驗吸收程度,如果教育訓練因故不到,還得再補課。

針對直銷商和會員,安麗則透過月刊,定期宣導個資保護的重要性;對於組織型的直銷商,則會透過定期教育訓練時段,透過演講或宣傳方式,強化個資保護意識。

不只如此,連惠瑤說:「我們還一直思考,還有什麼方式,可以把公司看重個資保護的理念,宣傳到每一個同仁、會員和直銷商身上。」未來考慮在創業資料袋中加入個資保護相關資料,也考慮設立不同平臺,作為持續性的教育訓練之用。

 階段6  個資盤點定義的欄位多達91個

在2011年12月,安麗啟動第二階段「個資保護強化專案」,因為已確定要導入BS 10012個人資料保護管理系統,因此花了2個月的時間,完成各部門個資盤點流程。

個資盤點是BS 10012的基礎,安麗原本預計9場次的需求訪問,但最後則增加到49場次。連惠瑤表示,每個部門同仁手上都有個資,因此得讓大家先上課,知道什麼是個資盤點,知道怎麼定義每一筆個資的直接或間接蒐集、處理、利用、流向,甚至是以什麼樣的檔案格式儲存或銷毀等。她說:「光是定義個資盤點,Excel表單需要記錄的欄位就多達91個。」

個資盤點分成小組進行,完成個資盤點後,便委派一個負責人,將個資盤點的結果列出個資清冊。

不過,連惠瑤說,這種個資盤點並不是做過一次就可以一勞永逸,企業內部永遠有各種新增個資需要進行盤點,所以,未來將請IT部門設計一套個資盤點系統,便利各部門的同仁有系統性的執行定期盤點。

 階段7  風險評鑑

根據個資清冊結果,安麗會針對不同項目設定風險值和威脅值,再從風險最高的項目進行風險應對。連惠瑤表示,通常是製作個資清冊且懂得業務流程的人,才有辦法訂定風險值和威脅值。

一般而言,對於有制度、有落實的,其風險值與威脅值設為最低的「1」;有制度但沒落實的,風險值和威脅值就定為2;沒有制度也沒有落實的,風險值和威脅值屬於最高,定為3。連惠瑤表示,風險與威脅都與業務流程息息相關,必須由懂流程的人訂出風險與威脅數值,再由各部門主管進行複覈,確認風險與威脅的判斷是否有誤。當所有風險值和威脅值都打完分數後,就會針對高風險和高威脅的項目優先採取因應措施。

 階段8  以PDCA建置個資保護管理系統

連惠瑤表示,以PDCA建置個資保護管理系統是BS 10012的重頭戲,這是一套可以循環、可以驗證的系統化個資保護的作法。個人資料流經的部門和工作流程,可能都得為了個資保護的目的而調整流程,甚至最後是多數的流程都需要調整,才能滿足企業因應個資保護的要求。

這其中的每個環節都需要花時間嘗試與調整,連惠瑤表示,臺灣安麗預計要到2012年底,才能完成相關的個資保護管理系統的建置,接下來才會進一步取得驗證。

安麗透過抽獎方式,鼓勵會員和直銷商回傳書面同意書,讓公司可以合理使用相關個資。這件事情因為涉及不同部門的作業流程整合和決策,沒有總經理的支持很難辦到。


相關報導請參考「個資法不只是IT部門的事」

熱門新聞

Advertisement