Page 101 - 標檢局雙月刊195期
P. 101
廣 角 鏡 適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,惟各個中央 目的事業主管機關,可以針對具攸關性之作業制定相關標準,指定其必須訂定個 人資料檔案安全維護計畫等。並於個資法施行細則第12條,規範安全維護事項及 適當之安全措施的原則性之規定事項;惟個資法要求的:「應注意,能注意而不 注意之過失責任」,於公務機關是:「無過失責任」,非公務機關是:「抽象過失責 任」,前述原則性之規定事項於「去識別化」宜遵循ISO/TS 25237:2008(E)、 ISO/IEC 29101:2013(E)、ISO/IEC 20889等標準化的進程,方能與國際接軌;惟 無論是<匿名化)>之控制措施,還是<去識別化>的控制措施均較CNS(ISO/IEC 27001)27001附錄A之控制措施細緻,且前者「資料庫管理系統」、後者「作業系 統/主機板(含手機)」、後者「資料庫管理系統」均已有內嵌指令、外掛模組供其 設計/實作使用,相關的推廣以及訓練攸關於我國「去識別化」工作項目之成本 與效益 [1], [4], [10]~[18] 。 「法規行為之所能落實與聚眾,必有其深厚的供應脈絡及功能應用。」2008 年12月1日,ISO/TS 25237正式發行,成為第1份「去識別化」之「健康資訊 ISMS」PII控制措施擴增的標準,參照2011年韓國儲存在雲端之個人資訊,90% 均被竊取的情境(Mondel et al., 2012) [18] ,我國政府正執行之10朵雲中的「財政 雲」、「健康雲」等均應遵守個資法施行細則第17條之要求,宜將「去識別化」的 設計與實作納入「政府雲計畫」之進程,以落實個人資料保護的「供應脈絡」與 「功能應用」及「基礎建設」。 五、參考文獻 1. 法務部,2014,法律字第 10303513040 號函。 2. 最高行政法院,2014,判字第 600 號。 3. 張友寧,2015,個資與去識別化(簡報資料),2015-04-24。 4. 經濟部,2015,經標授字第 10420050540 號函。 5. 行政院,2012,行政院院臺字第 1010056845 號令(個人資料保護法除第 6 條及 第 54 條條文外,其餘條文自 2012 年 10 月 1 日施行)。 6. 呂信瑩,2012,個人資料保護法上目的拘束原則之探討,台灣論證出版股份 有限公司,台北。 ʕശ͏ɓ´ʞϋʞ˜ 195 ಂ 95
