零售業須訂定個資安全維護計畫 經部提供指引手冊

為防堵個資外洩，經濟部規定綜合商品零售業者須在明年1月31日前完成訂定個人資料檔案安全維護計畫。為協助業者制定計畫，經濟部制定實作指引手冊，建議以自評和內外部稽核等4步驟，建立個資保護與管理制度。

經濟部8月1日公告零售業個資維護辦法正式上路，受規範業者須於6個月內訂定安全維護計畫，包含事故通報、會員個資管理機制，同時保障消費者可拒絕個資被用於行銷的權利；業者若違反規定最高可罰新台幣1500萬元，屆期未改正者可按次處罰。

經濟部商業發展署今天發布新聞稿表示，11月20日舉辦「綜合商品零售業個人資料檔案安全維護管理辦法」宣導說明會，業者逾百人參加，並邀請專家分別從個人資料保護法新制與綜合商品零售業個人資料檔案安全維護管理辦法實務執行、個資安全與資安防禦等面向深入研討，輔以國內外知名案例。

為協助業者訂定計畫或執行業務，商業署也製作實作指引手冊，並於說明會現場發送。以百貨公司、量販店、超市及超商等具有大量會員的綜合商業零售業業者為對象，提供業者實作參考指引、自我評核作業，並附上個資事故案例及常見問題，提供業者具體操作參考，避免業者因不瞭解如何落實而衍生相關法律責任。

至於綜合商品零售業應如何著手建立個資保護與管理制度，根據實作指引手冊提供4步驟。第一，初步自評，檢視組織現有個人資料保護制度、組織業務運作特性或文件表單等進行差異分析。

第二，建立個資管理系統文件。因應組織業務運作特性，客製化製作屬於組織內的個人資料管理制度文件，包含個人資料保護政策、管理程序書、工作指導書、文件表單及記錄。

第三，制度輔導落實與內部稽核。依照所制訂文件落實整體個資制度，包含個資流程識別、個資外洩事故演練、當事人行使權益、教育訓練、相關活動的執行紀錄，並透過內部稽核作業檢視制度落實程度及驗收成果。

第四，外部稽核並取得證書。未來可考量透過第三方驗證機構執行個人資料管理制度（PIMS）驗證、稽核作業，取得BS 10012 或 ISO 27701 等國際標準的證書。

如有透過資通系統大量蒐集、處理及利用交易相對人或會員個人資料的情形，建議可同時取得資訊安全管理制度（ISMS），例如 ISO 27001 的證書。

商業署強調，未來違反個資保護法的企業可能面臨高額罰鍰、信用危機及業務中止的風險；將全力支持綜合商品零售業業者做好個人資料保護工作，並共同打造一個讓消費者放心的業態環境。