Page 90 - 標檢局雙月刊195期
P. 90
Application of ISO/IEC 27001 for Sector/Service-Specific Third-Party Accredited Certifications,ISO/IEC DIS 27009:2015-07-27)已規範在擴增ISMS之要求事項納 入「個人資料保護」。根基於此,本文探討我國落實個人資料保護法宜開展的供 應脈絡以及功能應用之ISMS實作應擴增的要求事項之標準化作業之全景。 關鍵詞:個人資料管理系統,標準化,資訊安全管理系統,去識別化,整合性安 全管理系統 一、前言 2012年10月1日是我國個人資料保護法(以下簡稱個資法)正式施行之初始日, 揭示我國邁向資訊應用先進國家的新里程碑;個資法第二十七條第二項明定: 「中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業 務終止後個人資料處理方法。」,其第三項敘明:「前項計畫及處理方法之標準等 相關事項之辦法,由中央目的事業主管機關定之。」自2010年5月26日個資法修 正公布後,歷經28個月方制定公布的個資法施行細則第十七條闡明「去識別化 (De-identification):指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從 辨識該特定個人」之應為,「個人資料」的資訊隱私權依司法院釋字第603號解 釋,而受憲法第22條之保護;惟憲法對其保障並非絕對,國家得於符合憲法第 23條,在「為防止妨礙他人自由,避免緊急危難,維持社會秩序,或增進公共 利益所必要者外」的意旨亦得以法律規定為適當之限制,故權利的行使仍有其 界限 [5], [7]~[9], [14], [17] ,其與開放資料之競合已成為法制化之議題。 2014年11月13日,最高行政法院判字第600號判決與2014年11月17日,法務 部法律字第10303513040號函之函釋,開啟前述個資法施行細則第17條實作的 「去識別化(De-Identification)」之標準化的議題(法務部,2014;最高行政法院, 2014;張友寧,2015)[1]~[3];擬匿名化自國際標準組織(International Organization for Standardization , ISO) 於 2008-12-01 公布之 ISO/TS 25237 : 2008(E)Health informatics – Pseudonymization國際標準起,已成為具攸關性的去識別化之技術控 制措施;在ISO/TS 25237第3.18節,「去識別化:任一移除具識別性資料集與資料 主體間關連的過程之一般用語 (general term for any process of removing the 84 Bureau of Standards, Metrology and Inspection
