2013 年

2013-07-31

---

個資盤點的結果可信嗎?
網擎資訊 產品經理 王銘賢

個資法施行細則施行至今已超過半年，許多因應個資法的企業都反應最困難的是在「個資盤點」階段，因為盤點作業的範圍過大，資料散佈過廣，人工盤點不但過程勞師動眾，又因涉及了大量的人為判斷，則會很難確保盤點的正確性。在盤點成本這麼大的情況下，企業也很難進行定期盤點，專家提出「半年」一次的建議無異癡人說夢，也讓盤點的結果隨著時間的推移越來越不可信。

非正常流程下的個資盤的出來嗎?

個資盤點的最終產出分別為「個資盤點清冊」以及「個資流程圖」。這兩項產出並沒有一定的順序關係，有些企業採「由上而下」的方式，先繪製企業的作業流程圖，再依照流程圖所流經的部門與人員，盤查出詳細的個資盤點清冊；有些則採「由下而上」的方式，先從部門人員下手，整理出盤點清冊後，進一步勾勒出企業的個資流程。

但是無論哪種盤點方式，其正確性都受到許多專業人士的質疑。以「由上而下」的方式來說，通常都是依照企業標準作業程序（SOP）做為個資流程的基礎，遺憾的是這些流程很難涵蓋企業所有活動，導致畫出來的流程和實況不符。某大型金融業的個資小組成員就透露，為了配合公司行銷的政策，行銷部門會要求資訊部門提供行銷的名單，這些動輒上萬筆的個資就悄悄的的轉移到行銷部門中，行銷部門後續轉交到誰、如何使用都變成不能說的秘密，成為了個資盤點裡面的死角。而「由下而上」的方式也有同樣的問題點，員工不小心遺忘或是刻意遺忘的情況下，讓一開始的盤點清冊就不確實，然後一步錯步步錯，導致後來做出的個資流程失真，最後的保護措施也一起亂了套。

圖一、個資流程圖範例

 圖二、個資盤點清冊範例

透過自動盤點工具，大幅提升盤點的可信度!

為了避免人工盤點產生的缺失，傳統手法是透過訪談與抽查員工的方式來進行。訪談是讓外部顧問或稽核人員一對一訪談員工，根據員工口述日常使用個資的狀況，來驗證個資流程圖與盤點清單的正確性。抽查的方式就是直接對員工行為或環境進行突襲性的檢查，例如直接檢查員工電腦中的所有個資，再比對員工提供的盤點清冊。但這兩種方法受到稽核人力的限制，往往只能抽樣進行，用少部分案例推測整體狀況，仍舊難確保盤點的正確性。

目前較可行的做法是利用自動盤點工具來輔助，市場常見的個資盤點軟體就可以用自動化的方式，替企業盤點電腦以及伺服器中的個資檔案。這樣的工具在個資盤點的過程中，可以大幅提高個資盤點的正確性，如果企業打算採取「由下而上」的盤點方式，便可在盤點清冊階段導入自動化工具，透過自動化工具取代人工盤點，或當作人工盤點的對照，確保一開始產出的盤點清冊正確無誤。若是企業是以「由上而下」的盤點方式，這類型的工具就可以當作驗證工具使用，如先針對個資流程圖涵蓋的部門，利用自動化工具確認流程圖的真實性，流程外的人員也可進行隨機的盤點抽查，若發現流程外的人員持有個資，就代表背後有個資流程尚未被發現，此時就可反向追查個資來源，重新修正個資流程圖。

圖三、個資盤點工具之架構示意圖

個資盤點另一個大問題，在於如何「持續地」確保盤點結果的有效性。因為企業的「個資流」是一個活體，會隨時業務範圍修改、人員異動與資產交接（例如電腦移交）等行為不斷的變化，所以距離盤點的時間點越久，盤點的結果可信度就會越低。傳統的建議做法是每半年進行一次盤點，再根據盤點的結果調整個資保護措施，但是每人工盤點每次就要花費 1 ~ 2 個月的時間，非常的曠日廢時，所以半年一次的盤點對於一般企業來說是個沉重的負擔。定期盤點的最大重點在於找出「有改變」的個資流程，若企業沒有充足的人力，其實可以利用自動化工具來進行，透過自動派送或是背景執行的方式，在不打擾員工的情況下進行盤點，並將盤點的結果與先前紀錄比對，找出流程異動的地方，這樣就可以在最低的人力調度下，重新確認盤點的正確性。

個資法因應的第一步就是個資盤點，後續的風險評估、保護措施都和個資盤點的結果環環相扣，若在個資盤點的階段就出現錯誤，就會讓整體的保護措施出現嚴重缺失。目前常見的個資盤點方法過度仰賴人工進行，無論是「由上而下」或「由下而上」的方法論，都因為參雜了太多人為判斷，導致最終盤點結果的可信度很低。面對個資盤點的問題不彷嘗試用自動化工具來解決，確保個資盤點結果正確無誤，讓個資盤點不再只是敷衍的行政流程，而是真正有效的管理措施！