不知在稽核的訓練課程中是否有這樣一個章節,要在受查單位最忙亂的時候進行查核,每次稽核來進行查核的時間,都是手邊工作量最大的時候。今年還碰到內部稽核和會計師事務所選在相同的時間來查核。個資法當然是今年的重點,雖然相關的工作不是我們在執行,但後面的解決方案幾乎都算是資安的工作,稽核們有時就抓著一個人從頭問到底,往往覺得回應稽核的問題比執行專案還要麻煩。
今年的狀況也不例外,進到稽核的會議室劈頭就被問:「因應個資法,你們怎麼去確認個人資料的正確性?」
「我們有資料修正的流程,你是指這個嗎?」
「我知道你們有這樣的流程,但我是說你們拿到這樣的需求要怎麼去確認裏面資料的正確性,還是使用單位提什麼你們就改什麼?」
「資料修正當然是依照需求單位所提出的內容,然後確認最後的結果是不是一樣。」
「那這樣不行喔,你們接到需求時沒有再和當事人確認他的資料是不是正確,如果需求單位提出來的資料就是錯的怎麼辦?」
「很多時候我們修正的資料都只有某幾個欄位,我們也沒有客戶的聯絡資料,更何況如果是客戶提出來的,我們再打電話過去不是很奇怪嗎?」
「但是個資法有提到維護資料的正確性,最後這一關就在你們這,如果你們再不確認,害了公司違反法令,那你們要付這樣的責任嗎?延伸下來的例子,如果有大量個人資料需求的時候,你們一定也不會去確認是否和當初蒐集目的一致。」
「這應該是使用單位的責任啊,只有他們最清楚當初的蒐集目的,客戶的同意書我們也不會有,那我們以後是不是只要有個資需求的時候,就要請使用單位先提出所有的同意書之後再執行?」
「你們怎麼做我不管,反正你們也不確認資料的正確性,也不知道使用目的為何,這些都是嚴重違反個資法的行為,你們到時候等稽核報告出來,再來回覆要怎麼做就好了。」
對於個資法的條文內容,現在還有很多需要討論的空間,但最基本的觀念,個資法針對的對象,是公務機關、非公務機關及自然人,絕對不是xx單位的某部門,也正因為如此,沒有辦法要求組織內每一個部門每項作業均依照個資法來執行,必須要從整體面來考量,但也因為很多單位沒有一個專責的部門在負責這項業務,所以到頭來就是誰做誰倒楣。如果真的如稽核所言,那未來作業流程的時間一定要延長,到時候難保類似個資法本身不符合實際作業的理論又會出來,甚至要求立法從嚴、執法從寬,只要有幾項符合個資法就可以了,但這些都不是我們所預見的。只是我要怎樣回覆稽核核查核報告,這可能才是我的當務之急。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=13&aid=7658
SafeNet資訊安全保護鎖系列,歡迎來電借測!
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
正新電腦:www.pronew.com.tw 04-2473-8309
留言列表
