個資法自 10 月 1 日施行以來，社會出現了許多令人啼笑皆非的現象，例如：中部地區某縣府發函要求各級學校應保護學生個資，導致參加全國美展出賽獲獎名單公布，出現一堆○○！(資料來源：2012年11月10日蘋果日報)

消基會於 11 月抽查 19 家銀行、購物、餐飲業者服務申請書、意見調查表，發現僅 37% 依個資法告知消費者蒐集個資目的及使用方式等資訊，顯示新法雖已上路 1 個多月，業者的準備工作還不及格。

個資法 §18 要求公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。施行細則 §24 條另規定公務機關保有個人資料檔案者，應訂定「個人資料安全維護規定」。

個資法 §27 要求非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。施行細則 §12 條綜整以上規定：「本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施」。

前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則：

1. 配置管理之人員及相當資源。
2. 界定個人資料之範圍。
3. 個人資料之風險評估及管理機制。
4. 事故之預防、通報及應變機制。
5. 個人資料蒐集、處理及利用之內部管理程序。
6. 資料安全管理及人員管理。
7. 認知宣導及教育訓練。
8. 設備安全管理。
9. 資料安全稽核機制。
10. 使用紀錄、軌跡資料及證據保存。
11. 個人資料安全維護之整體持續改善。

實務作為所採行的方法或是標準眾多，例如：英國的 BS 10012、CNS/ISO/IEC 27001 或是經濟部商業司所推動的 TPIPAS 等，均是植基於風險管理之基礎，建立管理系統，落實保護作為，證明以盡善良管理之責任。

故有關機關界定個人資料之範圍、進行風險評估及管理、及釐定個人資料蒐集、處理及利用之內部管理程序等，均需建立個資檔案清冊，進行「個資流程盤查作業」，主要目的在於確認機關個資蒐集之特定目的，以符合程序之要求。

但是在顧問輔導實務作業中，筆者發現，採用訪談方式進行流程盤查作業，訪談資料信校度可供後續保護作為之參考，需有以下條件需成立：

• 受訪談者對於業務流程非常熟悉
• 受訪談者對於系統架構非常瞭解
• 受訪談者的記憶力要很好未衰退
• 受訪談者願意誠實以對毫不欺瞞

可惜的是，實務中我們發現以上條件並不存在，所以導致訪談的結果與實務的差距過大，機關到底擁有多少個資，存在於何處？是否有業務人員為了業績進行非法蒐集？是否有助理人員在處理過程保有巨量之資料？是否有獲得授權之人，意欲進行特定目的外之利用？以上問題如果無法釐清，恐不利於後續保護作為之規劃，一直到採用 P-Marker 自動化個資盤點工具之後，筆者才驚覺實務比我們想像中的還可怕。

現實環境中，大量之個資將會採用資訊科技協助處理，不管是電子檔案或是資料庫，問題是機關所擁有的資訊設備中，到底有多少個電子檔案？其中存有個資的檔案比例又有多少？要花多少時間才能夠清查完畢？有可能對於機關造成鉅額民事損害賠償金額的檔案又有多少呢？以上問題若沒有答案，請問要如何進行風險評鑑呢？又要如何進行風險處理呢？

以下數據是有不同類型之輔導個案所查得的數據：

 
表： 自動化個資盤點個案統計表

由以上個案得知，平均每台電腦所擁有之檔案數量，以中央部會最高，平均每台超過 25,000 個檔案，非公務機關的生技產業最少，約 7000 個檔案，其中含有個資檔案之比例者，以中央部會將近 40% 比例最高，非公務機關也有 25%，數量真的非常驚人，以自動化工具盤查，平均每台電腦需耗費 6 小時，假若要以人力進行，根本就是不可能的任務！

其中含有極大量個資者，以私立大學及生技業者個案為例，將近佔檔案總數 5%，其分布的情形更是超乎想像之外，最常見的是大量個資是來自於前一個工作職務，惟職務異動之後，電腦設備並未更換，自然在流程盤查時，也很難告知前一職務所保管之個資為何。另一個實例中，則是發現在應用伺服器 (AP Server) 上，留存有大量的個資暫存檔案，但卻沒有人知悉這些檔案的存在。更甚者還發現有將全部會員資料匯出的暫存檔，總數超過數十萬筆，卻沒有人可以清楚說明這些檔案的用途與該如何處置。由上述實例可知，如果不是透過自動化個資盤點工具的輔助，這些潛藏在各處的個資檔案將成為風險評鑑的盲點。

個資盤查若不仔細，保護作為是否會白費力呢？以上情形普遍出現於受輔導之個案中，深值業主與顧問業者深思！