PROFILE / 系統簡介

緣經濟部商業司委託財團法人資訊工業策進會,執行「電子商務個人資料管理制度推動計畫」,規劃並推動「臺灣個人資料保護與管理制度(TPIPAS)」,並於2013年起擴大適用至所有行業別,亦適用於公務機關。

組織基於企業社會責任的理念,為因應個人資料保護法制化之新趨勢,避免消費者個人資料外洩可能引起的風險,進而影響組織永續經營之健全發展,科建顧問可協助 貴組織邁向「台灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System;TPIPAS)」查證之路。

建置「個人資料管理系統」除保障該公司保有之個人資料,避免個人資料被竊取、洩漏、竄改或其他侵害,並順利通過財團法人資訊工業策進會 科技法律研究所(以下簡稱「資策會科法所」)之TPIPAS管理系統審查,取得經濟部商業司「資料隱私保護標章(Data Privacy Protection Mark, DP.Mark)」為目標,奠定爾後該公司個人資料保護制度持續精進的基礎。

建置目標包括符合個資法施行細則第12條之「個人資料安全維護措施」,並評估公司所欲達成之個人資料保護目的間具有適當比例為原則,得包括下列事項,:
  1. 配置管理之人員及相當資源。
  2. 界定個人資料之範圍。
  3. 個人資料之風險評估及管理機制。
  4. 事故之預防、通報及應變機制。
  5. 個人資料蒐集、處理及利用之內部管理程序。
  6. 資料安全管理及人員管理。
  7. 認知宣導及教育訓練。
  8. 設備安全管理。
  9. 資料安全稽核機制。
  10. 使用紀錄、軌跡資料及證據保存。
  11. 個人資料安全維護之整體持續改善。

 

■組織為什麼需要TPIPAS?

(一)        防止未來組織遭受個資訴訟,無法提出管理制度,導致公司被罰款,最高罰兩億。

(二)        確保電子商務資訊及管理環境之可控性。

(三)        提高組織人員對於個資法律及管理上的風險認知。

(四)        確保個資得到合法的妥善保存與管理。

(五)        可取得個人資料隱私權保護標章,提高網路採購消費者的信心與商譽。  

 

為何選擇科建?

l   第一家TPIPAS合格登錄機構

l   具備輔導及通過驗證實務經驗,了解驗證要求及重點

l   具備26年顧問輔導經驗

l   同業中最早投入個資輔導之顧問公司

l   可整合ISO 9001ISO 27001系統與個資相關系統

 

l   全職法務顧問輔導,並提供免費法規諮詢服務

l   合作之個資防護廠商

■預期效益 

將 貴公司營運之各項業務流程,在TPIPAS標準要求下以PDCA方式進行個資流程展開,建立TPIPAS所需之「標準化流程」,促進各部門合理使用個人資料,藉以提昇公司電子商務環境的安全性。
 
◆ 可取得DP Mark,客戶有信心
◆ 符合國家個資法規要求,降低責任風險
◆ 明確的PDCA管理流程
◆ 結合管理、技術與法律的制度
◆ 未來與國際個人資料保護法接軌
◆ 人員對於個人資料管理與保護認知度相對提高
◆ 建立個人資料內評制度
◆ 整合資訊安全管理,達到個資全方位防護目標 

REPORT / 新聞稿

ARTICLES / 文章分享

  • 2014.04.01

    建構臺灣個人資料保護與管理制度規範(TPIPAS):各個階段工作重點概述(上)

     「臺灣個人資料保護與管理制度規範(Taiwan Personal Information Protection and Administration System, 以下簡稱TPIPAS)」,主要可提供一個架構讓組織從法律面、管理面與流程面對於個人資訊的管理,能維持和改善對個資法規及優良管理實務要求下,進行保障組織所持有之個人資訊。個資保護PDCA的流程,即是利用過程方法來建立、施行、運作、監控、審查、維護及改善組織的個人資訊管理系統。我們可以從個資法施行細則第十二條的安全維護措施中,解析出個資保護管理的PDCA系統概念,來討論在個資因應的各個階段,應該採行何種作為?

      而以PDCA整體構面來看,組織於建構個人資料管理系統各階段工作要點如下:

    一、「規劃」:

    了解個人資料保護工作事項,組織應透過「規劃」活動將定義個人資訊管理制度的範圍、評估個人資料風險、鑑別法律及其他要求等等,以制定詳細的管理目標及標的,同時由組織最高階主管負責維護「個人資訊管理政策」,確保「個人資訊保護政策」承諾遵守國內個資法。

    在TPIPAS的建置中,需由高階主管(管理代表)帶領組織,擴及至所有職員,所以高階主管的支持與具備較高的資訊安全意識,更重要的是透過「規劃」活動能強化同仁了解與工作相關的個人資料保護規範,及其職責,因此是必要施行的措施。
    規劃TPIPAS,標準中要求組織應根據「一般要求事項」、 「個人資料保護管理政策」、「個人資料保護管理手冊」等來發展、實行、維持並持續改善個人資訊管理系統,透過「識別法令及其他相關規範」、「納入管理之個人資料範圍」、「風險管控措施」、「資源管理」及「權限與責任分工」活動,針對重要業務流程進行評估並識別所有個人資料檔案,一一確認業務流程中所有利害相關者,利用流程輸入/輸出中包括(1)客戶/使用者;(2)組織內部;(3)委外廠商;(4)供應者;(5)其他,以上種種表示業務資訊若在不同的個人資料檔案生命週期,例如:如何建立、傳送、儲存、封存及銷毀等現行之程序,可能有不同的管理者或需要建置之支援流程,例如:檔案管理系統或備份管理系統等,並依個資法中之一般個資與特種個資的分別,檢視組織內這些個人資訊蒐集之必要性。 

      

    對應到個人資料保護法施行細則第十二條之「配置管理之專責人員及相當資源」、「界定個人資料之範圍」及「個人資料之風險評估及管理機制」安全維護措施。

    二、「實行與運作」:

    組織對於同仁能否具備資保護意識、在個人資料的處理上是否能遵循一定的程序,降低人員疏失造成資料外洩的情形、較敏感的個人資料在使用前進行核對工作、以及能否維護個人資料的完整性與正確性…等能力都相當重視。因此存在相關的管制措施「實行與運作」包括:「組織與第三方合作時,將能確保個人資料揭漏處於被管制的狀態。」、「組織將具體指明處理個人資料之目的,且不用於目的外用途。」,「組織的個人資訊管理制度將有銷毀過期(或是不在保存範圍內)之個人資訊。」、「組織將舉辦教育訓練與意識提升,確保所有員工都能夠按照適當程序處理個人資料。」、「組織將能確保個人資料受到公平合法的處理,且在開始處理前已清楚確認處理個人資料的法律基礎。」,以及「組織的個人資訊管理制度將能確保個人資料的完整性與正確性。」等等。

            由於在TPIPAS「規劃」過程中,係藉由人員能力/訓練/認知、文件化的需要、組織權責、個資流程清查及檔案盤點、以及個資風險管理

    等活動,明確定義組織之個人資料保護政策及改善目標/標的/方案等來規劃相關作業管制等各資安全維護措施,其中包含相關管理制度實施之適當程序:「基本原則」、「當事人之相關權利」及「管理監督」等,管理包括維持個人資料之正確性、安全管理措施及事業人員之監督及委託蒐集/處理或利用個人資料之監督等議題因此組織在「實行與運作」個人資訊管理系統中之個人資料安全維護相關措施,應不斷評估管理蒐集/處理/利用、管理當事人權力行使、管理適當安全維護措施、以及於蒐集前/利用前/資料傳輸前/資料庫開放前/出口管制前卡檢核制度及基礎設施的適切性,來維持和改善學校機關對於個人資料保護相關法律及優良制度的遵循,這除了確保各項程序及技術要素都受到維護(正確且適當運作),應完整地規劃並執行文件及紀錄管制,以確保「實行與運作」的有效性夠被評估並鑑別。

    對應到個人資料保護法施行細則第十二條之「事故之預防、通報及應變機制」、「個人資料蒐集、處理及利用之內部管理程序」、「資料安全管理及人員管理」、「認知宣導及教育訓練」、及「設備安全管理」等等安全維護措施之要求。

  • 2016.02.22

    個人資料保護專欄(三)-臺灣個人資料保護與管理制度(TPIPAS)

    臺灣個人資料保護與管理制度(TPIPAS)

     

     

    發展歷史[1]

    隨著我國科技進步,使用網路人口不斷增加,資訊安全風險持續提升,對於個人隱私、業務機密、社會安全造成衝擊,有鑒於此,行政院於西元(以下同)2009年8月「塑造資安文化、推升資安產值」產業科技策略會議決議,由經濟部強化並宣導電子商務行業保護個人隱私、交易安全機制,經濟部並依此推動「電子商務個人資料管理制度推動計畫」。

      2011年4月由經濟部商業司委由財團法人資訊工業策進會執行,推動我國之個人資料保護管理系統--臺灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System, TPIPAS)。 

      2013年將適用範圍擴大至所有組織(包含一般公司、政府單位等),並於2014年5月5日起受理組織部分特定範圍檢視申請。

     
     
     
     

    簡介:

    臺灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System, TPIPAS):

    臺灣個人資料保護與管理制度(TPIPAS),係針對台灣個資法量身訂做的管理系統,就組織蒐集、處理、利用及國際傳輸個人資料提供一個參考架構,使組織能依循此架構建置完整之個人資料保護管理制度。

    因網路詐騙氾濫,2011年試施行時,先注重於推動電子商務行業個人資料安全,因此,早期通過驗證的多為數位科技、網路購物平台等保有大量客戶資料的組織。

    2012年,隨著人們保護個人資料意識逐漸抬頭,臺灣個人資料保護與管理制度(TPIPAS)擴大驗證範圍推廣至所有行業。201455日並推出新的制度--特定範圍檢視,係指不以全組織為驗證範圍,得就部分組織單位申請抽查檢視是否符合臺灣個人資料保護與管理制度規範,但是檢視與驗證不同,通過後僅有檢視通過證明,並不代表驗證通過,亦不得申請「資料隱私保護標章(dp. mark)」。

    未來,在經濟部商業司努力下,若是越來越多企業為了因應個資法而導入該規範,臺灣個人資料保護與管理制度(TPIPAS)有望能成為一項新的中華民國國家標準(CNS)。

    組織建立管理制度後,臺灣個人資料保護與管理制度(TPIPAS)透過管理循環「計畫、執行、檢查及行動(Plan-Do-Check-Act)」能協助維護及改善組織的個人資料管理系統,以達到不斷提升個人資料保護與管理能力,並創造可信賴的隱私環境。[2]

     


     

    [1]臺灣個人資料保護與管理制度-官方網站

    [2]將於下篇專欄詳加介紹。

  • 2016.03.25

    個人資料保護專欄(四)-臺灣個人資料保護與管理制度(TPIPAS)

    一、            資料隱私保護標章(Data Privacy Protection Mark,dp.mark):

    參考日本隱私權標章(Privacy Mark)規範,符合規範要求得經由驗證機構認可後頒發隱私權保護標章,以彰顯企業對於個人資料保護的重視,增加消費者的信賴感。

    我國方面,組織得自行或尋找顧問公司協助導入臺灣個人資料保護與管理制度(TPIPAS),由合格之驗證機構驗證,若通過驗證,可以申請經濟部商業司頒發之證明標章「資料隱私保護標章(dp.mark)」,組織得於取得該標章後於官方網站或平面文宣上使用,證明組織重視且確實對於個人資料有所保護,提升組織正面形象。

    二、            導入效益:

    1.      取得資料隱私保護標章(dp.mark),提高消費者的信心與公司商譽;

    2.      符合國家個資法規要求,降低訴訟風險;

    3.      明確的管理循環「計畫、執行、查核及處置(Plan-Do-Check-Act)」;

    4.      結合管理、技術與法律的制度;

    5.      確保個資得到合法妥善的保存與使用;

    6.      人員對於個人資料管理與保護認知度相對提高;

    7.      建立個人資料內部評鑑制度。

    三、            與其他管理制度的關係:

    臺灣個人資料保護與管理制度(TPIPAS)的制定是希望提供企業個資管理系統建置時,就該如何符合我國現有個人資料保護相關法規有所依歸,因此,臺灣個人資料保護與管理制度(TPIPAS)規範合於我國本地法規,適合成為一項全國遵守的新中華民國國家標準(CNS)。

    但是,合於我國本地法規亦代表著與國際流行的規範有所差異。

    以「告知」為例子,在蒐集、處理或利用時相關管理系統皆認為應該讓當事人充分了解是什麼組織、什麼原因蒐集個人資料,而將來這些資料會被使用於何處及當事人能行使得權利…等,構成了應「告知事項」,不同管理系統因來源國家不同,對於「告知事項」之要求亦有不同,參考下圖比較:

     

    顯然,國際間現在最被廣泛認可的個人資訊管理系統(BS 10012)標準要求(如上圖一4.7.1 個人資訊的收集與處理5、7、8點),比臺灣個人資料保護與管理制度(TPIPAS)及個資法要求更嚴謹,規定應公開給當事人知曉的資訊更多,這也是為什麼我國的金融、證券等跨國際性行業組織,在選擇個人資料保護管理系統建置時,更傾向於通過個人資訊管理系統(BS 10012)驗證,而非臺灣個人資料保護與管理制度(TPIPAS),因為同樣是驗證,國際間較多認可個人資訊管理系統(BS 10012)。

    並非說臺灣個人資料保護與管理制度(TPIPAS)不好,而是相較國際規範,合於我國法規的標準,顯然更受到當地政府的重視與喜愛,所以組織在導入個人資料保護制度時,可以先考量是重視國外還是國內再決定導入之管理系統。

    但不管如何,兩個資管理系統都是希望協助組織在個人資料保護有所提升,也許未來臺灣個人資料保護與管理制度(TPIPAS)改版後,能夠與國際系統規範接軌。

Q & A / 問答集

ALBUMS / 活動花絮

PROJECT / 輔導實例