開放個人資訊去識別化過程管理系統之認證服務
開放個人資訊去識別化過程管理系統認證服務緣由與期程
2019年7月國家發展委員會「智慧政府行動方案」,此方案內容包括完備個人資料去識別化應用機制,經濟部亦配合訂定具操作性之去識別化國家規範,擴大第三方驗證能量,同時各部會亦針對民生攸關機敏性資料,推動機敏資料去識別化標竿作業。
經濟部配合上述政策,於2019年智慧政府行動方案推動措施暨具體作法中,責成經濟部標準檢驗局建立「完備個人資料去識別化應用機制」,具體做法為參考國際驗證標準,公布「個人資料去識別化驗證要求與控制措施」國家標準,鼓勵有潛力之驗證機構提供驗證服務,健全國內認驗證發展環境,本項工作之認驗證發展環境,責成財團法人全國認證基金會(以下簡稱本會)規劃。
近年來臺灣個人資料外洩案例屢見不鮮,例如,公務機關人為疏失誤將記帳士個資檔案傳輸上網導致個資外洩、公益團體之捐款人個資外洩事件等,尤其在全球數位轉型風潮及網路服務型態持續演變牽動之下,科技發展及應用過程中常需要處理大量資料,惟個資外洩風險將降低資料共享意願,並減損民眾信賴。因此,惟有落實個資保護,方可提升資料當事人對於科技的信任。
鑑於國內已於2012公布個人資料保護法, 因應巨量資料應用潮流及推動個資合理利用,去識別化發展之重要性日益增加,本會配合政府政策推動,並支持建立國內對個人資訊保護去識別化更強化之機制,經徵詢驗證機構、本會認證評審員、學者專家意見,決定規劃以CNS 29100-2 (資訊技術-安全技術-個人資訊去識別化過程管理系統-要求事項)為驗證標準,開放個人資訊去識別化過程管理系統認證制度。CNS 29100-2為國內自訂之國家標準,主要遵循我國個人資料保護法及其施行細則,並參考ISO 29100系列、ISO 27018 (資訊技術-安全技術-公用雲PII 處理者保護個人可識別資訊(PII)之作業規範)等國際標準訂定,本會率先於推動國際隱私管理標準認證開展第一步,公告自2022年1月25日開放受理個人資訊去識別化過程管理系統認證服務。本項認證服務之規劃與開放,無論於資訊安全領域、隱私管理等皆具重要意義。
個人資訊去識別化過程管理系統規範介紹
因應科技之需求與各類場景應用,並創造資料價值極大化,面對開放資料、大數據、物聯網等挑戰,實務上應對所保有個資進行去識別化處理,以利後續共享再利用。本會配合國家法規要求,考量資訊安全領域、個人資料去識別化技術領域之重要性,開放個人資訊去識別化過程管理系統驗證之認證服務。
個人資訊去識別化過程管理系統驗證機構認證規範係針對個人資訊去識別化過程管理系統驗證機構明訂認證要求,其主要目的旨在除ISO/IEC 17021-1 (符合性評鑑-機構提供管理系統稽核及驗證之要求事項-第1部:要求事項)規範外,另訂個人資訊去識別化過程管理系統驗證機構認證作業之特定要求,包含驗證機構人員能力要求與稽核時間計算等內容。經本會認證之驗證機構,執行個人資訊去識別化過程管理系統之驗證,必須基於相關之技術專業為國內個資防護把關,這些都是本會建立認證信賴之基礎,且每一個環節都攸關國內資訊安全領域、個人資料保護環境之健全及保障,亦突顯本項認證服務之重要性。
開放認證服務效益
本會於2015年10月21日即成功簽署國際認證論壇(International Accreditation Forum,簡稱IAF)資訊安全管理系統(ISO/IEC 27001)國際多邊相互承認協議(Multilateral Recognition Arrangement,簡稱MLA),本會基於資訊安全相關管理系統領域之認證基礎下,發展本項認證制度,對於國內法規法遵要求與個人資料保護,強化權責機關與企業足以信賴之驗證結果,為國內個人資料保護之驗證提供一個新的發展方向,建立社會大眾信心。
