2013.11 金管會最新公布個資安全維護辦法之分析及探討

個人資料保護法（下稱「個資法」）施行甫週年後，金管會於民國102年11月8日正式發布施行「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」（下稱「金管會個資安全維護辦法」），雖以金控、銀行、證券、期貨、保險、電子票證、金管會主管財團法人，及其他經金管會所公告之金融服務業為適用對象，惟其所揭露相關個資安全管理概念及風險預防措施仍可能成為其他中央目的事業主管機關制定所轄產業規範之參考，實值得各產業相關企業重視，故本文謹就金管會個資安全維護辦法修訂重點整理分析及說明如下：
首先，金管會個資安全維護辦法要求金融機構等企業就其「個資檔案安全維護計畫」訂定及增修之核定須經「董事會決議」、「常務董事會決議」或「經董事會授權之經理部門核定」，以兼顧企業增修個資檔案安全維護計畫之彈性。

再者，為強化企業管理力度，金管會個資安全維護辦法進一步提出「重大個人資料安全事故」及「外部專家診斷機制」概念：當個資遭竊取、竄改、毀損、滅失或洩漏，而將危及「企業體正常營運」或「大量當事人權益」時，即構成重大個資安全事故，此時除個資法第12條基本應變、通報機制要求以外，並規範企業研議之矯正預防措施，應經公正、獨立且取得相關公認認證資格之專家，進行整體診斷及檢視之要件，即所謂「外部專家診斷機制」概念，以期企業得透過專門人員之輔助，在最短期間內展現矯正預防之成效。雖然，所謂「正常營運」及「大量」當事人概念，尚待實務案例累積及主管機關進一步闡釋，惟像是今年5月國內某大型銀行網站繳費中心因內部程式設計及內控程序瑕疵所爆發用戶個資外流，導致約33,000名用戶多達約57,000筆資料外洩一案，理解上係構成此事故應無疑問。
此外，為落實當事人個資保護，金管會個資安全維護辦法並針對提供網際網路進行商品或服務之廣告、行銷、供應、訂購或遞送等「電子商務」服務之企業，增訂「電子商務之資訊安全措施」要求，亦即企業至少應採取下列資訊安全措施：一、使用者身分確認及保護機制。二、個資顯示之隱碼機制。三、網際網路傳輸之安全加密機制。四、應用系統於開發、上線、維護等各階段軟體驗證與確認程序。五、個資檔案及資料庫之存取控制與保護監控措施。六、防止外部網路入侵對策。七、非法或異常使用行為之監控與因應機制，並要求企業體對於前述資安措施應定期演練及檢討改善，以降低因網際網路商業活動所造成個資事故風險。

同時，金管會個資安全維護辦法亦揭露企業應對於各項個資使用軌跡資料、實施安全維護措施及稽核之證據及記錄，於製作或產生該資料後保存5年，以作為主管機關檢查或日後爭議時舉證之證據。

承上所述，金管會個資安全維護辦法雖僅適用於金融產業，惟其所揭露之管理高度及概念，亦有可能為其他產業主管機關日後公布之產業管理規範所援引參照。基此，無論是否為金融產業，皆應體認到個資管理，不僅應從外顯性曝險事項管控，而須有更全面之管理思考。而對於此個資法施行動態，亦應有所意識，並宜儘早回應，以有效及合規地管理個資風險，避免未依規建置個資保護制度的行政罰鍰及遭主管機關公告違章企業等行政責任，進而降低個資不當利用及外洩之可能性，且得於訴訟審理過程中舉證企業已盡善良管理人的注意義務，降低民事損害賠償責任風險，以期在全民個資權利意識抬頭後，仍在隨之而來的個資爭議浪潮中，展現善盡個資保護的良好企業形象，進而維繫企業商譽及獲利。