2013 年


2013-07-31

網擎資訊 產品經理 王銘賢

個資盤點的結果可信嗎?

個資法施行細則施行至今已超過半年,許多因應個資法的企業都反應最困難的是在「個資盤點」階段,因為盤點作業的範圍過大,資料散佈過廣,人工盤點不但過程勞師動眾,又因涉及了大量的人為判斷,則會很難確保盤點的正確性。在盤點成本這麼大的情況下,企業也很難進行定期盤點,專家提出「半年」一次的建議無異癡人說夢,也讓盤點的結果隨著時間的推移越來越不可信。

非正常流程下的個資盤的出來嗎?

個資盤點的最終產出分別為「個資盤點清冊」以及「個資流程圖」。這兩項產出並沒有一定的順序關係,有些企業採「由上而下」的方式,先繪製企業的作業流程圖,再依照流程圖所流經的部門與人員,盤查出詳細的個資盤點清冊;有些則採「由下而上」的方式,先從部門人員下手,整理出盤點清冊後,進一步勾勒出企業的個資流程。

但是無論哪種盤點方式,其正確性都受到許多專業人士的質疑。以「由上而下」的方式來說,通常都是依照企業標準作業程序(SOP)做為個資流程的基礎,遺憾的是這些流程很難涵蓋企業所有活動,導致畫出來的流程和實況不符。某大型金融業的個資小組成員就透露,為了配合公司行銷的政策,行銷部門會要求資訊部門提供行銷的名單,這些動輒上萬筆的個資就悄悄的的轉移到行銷部門中,行銷部門後續轉交到誰、如何使用都變成不能說的秘密,成為了個資盤點裡面的死角。而「由下而上」的方式也有同樣的問題點,員工不小心遺忘或是刻意遺忘的情況下,讓一開始的盤點清冊就不確實,然後一步錯步步錯,導致後來做出的個資流程失真,最後的保護措施也一起亂了套。

圖一、個資流程圖範例

 圖二、個資盤點清冊範例

透過自動盤點工具,大幅提升盤點的可信度!

為了避免人工盤點產生的缺失,傳統手法是透過訪談與抽查員工的方式來進行。訪談是讓外部顧問或稽核人員一對一訪談員工,根據員工口述日常使用個資的狀況,來驗證個資流程圖與盤點清單的正確性。抽查的方式就是直接對員工行為或環境進行突襲性的檢查,例如直接檢查員工電腦中的所有個資,再比對員工提供的盤點清冊。但這兩種方法受到稽核人力的限制,往往只能抽樣進行,用少部分案例推測整體狀況,仍舊難確保盤點的正確性。

目前較可行的做法是利用自動盤點工具來輔助,市場常見的個資盤點軟體就可以用自動化的方式,替企業盤點電腦以及伺服器中的個資檔案。這樣的工具在個資盤點的過程中,可以大幅提高個資盤點的正確性,如果企業打算採取「由下而上」的盤點方式,便可在盤點清冊階段導入自動化工具,透過自動化工具取代人工盤點,或當作人工盤點的對照,確保一開始產出的盤點清冊正確無誤。若是企業是以「由上而下」的盤點方式,這類型的工具就可以當作驗證工具使用,如先針對個資流程圖涵蓋的部門,利用自動化工具確認流程圖的真實性,流程外的人員也可進行隨機的盤點抽查,若發現流程外的人員持有個資,就代表背後有個資流程尚未被發現,此時就可反向追查個資來源,重新修正個資流程圖。

圖三、個資盤點工具之架構示意圖

個資盤點另一個大問題,在於如何「持續地」確保盤點結果的有效性。因為企業的「個資流」是一個活體,會隨時業務範圍修改、人員異動與資產交接(例如電腦移交)等行為不斷的變化,所以距離盤點的時間點越久,盤點的結果可信度就會越低。傳統的建議做法是每半年進行一次盤點,再根據盤點的結果調整個資保護措施,但是每人工盤點每次就要花費 1 ~ 2 個月的時間,非常的曠日廢時,所以半年一次的盤點對於一般企業來說是個沉重的負擔。定期盤點的最大重點在於找出「有改變」的個資流程,若企業沒有充足的人力,其實可以利用自動化工具來進行,透過自動派送或是背景執行的方式,在不打擾員工的情況下進行盤點,並將盤點的結果與先前紀錄比對,找出流程異動的地方,這樣就可以在最低的人力調度下,重新確認盤點的正確性。

個資法因應的第一步就是個資盤點,後續的風險評估、保護措施都和個資盤點的結果環環相扣,若在個資盤點的階段就出現錯誤,就會讓整體的保護措施出現嚴重缺失。目前常見的個資盤點方法過度仰賴人工進行,無論是「由上而下」或「由下而上」的方法論,都因為參雜了太多人為判斷,導致最終盤點結果的可信度很低。面對個資盤點的問題不彷嘗試用自動化工具來解決,確保個資盤點結果正確無誤,讓個資盤點不再只是敷衍的行政流程,而是真正有效的管理措施!