BS 10012提供企業因應新版個資法的具體作法

新版個資法的核心精神不是資訊安全，而是對民眾隱私權的保護。因此原有資訊安全的作法，不盡然能夠完全符合新版個資法的種種規範，找不到一套可以一勞永逸的解法，是許多資訊主管的煩惱。

以保護隱私權為宗旨的英國國際標準BS 10012是目前其中一項較具完整架構的個資保護作法，目前臺灣已有企業選擇以BS 10012來因應個資法。但是，一定有不少企業會抱持疑問，BS 10012真的有滿足新版個資法的要求嗎？難道，取得了一個BS 10012的個資保護認證，就可以達到免責嗎？

臺灣BSI總經理蒲樹盛表示，BS 10012和臺灣新版個資法都同樣參照OECD和APEC的隱私權綱領制定的，兩者在法案的精神上，可說是師出同門。他說，兩者的差別在於，個資法法條的制定往往是比較提綱挈領式的闡述法條的精神，也相對抽象；但是BS 10012則是一個具有P（計畫）、D（執行）、C（查核）、A（矯正）流程審視企業如何保護個人資料的過程，也會建議一些執行步驟和處理方式，相較法條而言，BS 10012相對具體可行。

提供可供驗證的PDCA流程

「個資法的本質和BS 10012的本質都一樣，其實就是針對隱私權保護，」蒲樹盛表示，在尊重個人隱私的前提下，所有的安全防護措施就和一般人對資訊安全認知的安全防護措施所有不同。

簡單的說，個資法規定的對於個人資料從蒐集、處理、利用、國際傳輸到銷毀的每個流程階段，所應該注意的事項；但資訊安全多數只偏重在如何確保資訊不外洩，作法上，都是比較實際端的資安防護作為。

他認為，這也是為什麼ISO 27001資訊安全管理系統的驗證，並無法囊括新版個資法基於隱私權保護所需的個資保護作法的重要原因。

但BS 10012在條文中便已經載明，個資的蒐集、處理和利用中的「處理」階段，因為是針對所有個資處理環節所需要的各種防護措施，都可以進一步參考ISO 27001的規範。

而ISO 27005主要是提供風險評鑑的一套方法，並不像ISO 27001或BS 10012已經提供一套可供驗證的PDCA流程。蒲樹盛表示，ISO 27005的風險評鑑方法論，可以幫助組織或個人知道如何進行風險評鑑，但對於基於隱私保護的個人資料保護的完整性來看，風險評鑑只能滿足其中一個環節而已。

國際標準中，還有一個ISO 29100是針對IT類資訊的隱私原則框架，蒲樹盛說，主要是針對IT領域的個資保護，例如資料庫的個資保護等，「但這只是一套綱領，因為不提供PDCA的流程，也無法驗證。」他說。

BS 10012主要分成6個章節，除了第0章的簡介外，第1章是範圍，第2章是定義和縮寫，第3章是個資保護管理系統（PMIS）的計畫，第4章是PMIS的執行，第5章是PMIS的查核，第6章是PMIS的矯正。蒲樹盛表示，從BS 10012的規畫和定義來看，像是一本參考書，把符合PMIS的PDCA最佳實務與作法，都寫在這個規範上面，提供企業可以參考模仿。

蒲樹盛表示，法規要求比較籠統，但BS 10012可以提供實做要求，例如個資法第5條規定「個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，」但這若對照到BS 10012，便會要求必須要製作個資清冊，並訂有保存期限等，以滿足當事人的權利要求。

整體來說，蒲樹盛認為，BS 10012除了無法囊括各地的罰則和附則外，針對新版個資法法案規範的內容涵蓋率是百分之百。不過，他也說，法律架構本來就是比較屬於框架式的，描繪的內容往往比較抽象、不夠具體，而BS 10012就提供一個具體可行的個資保護管理系統，以滿足新版個資法的規範。

相關報導請參考「個資法不只是IT部門的事」