2012年1月16日 星期一

向日本P-Mark取經,看隱私標章如何建立公信力



作者:廖珮君 -11/14/2011


新版個資法對企業帶來不少衝擊,為了協助企業做好法規遵循,各個目的事業主管機關皆有不同作法,其中,經濟部於今(2011)5月宣告設置個人資料保護管理制度TPIPAS及個資保護標章DP-Mark,但由於目前僅止於試辦階段,關於制度維運的相關措施(如:收費標準、驗證方式、輔導機構等)皆未明朗化,也讓許多人對於標章的公正客觀性抱持懷疑態度。

日前來台參加研討會的JIPDEC隱私標章推動中心副中心長關本貢,以日本推動隱私標章P-Mark經驗為例,分享JIPDEC如何維護與建立隱私標章的客觀、獨立、公平、與可信度。JIPDEC負責隱私標章發放,並成立多個不同功能的組織,各司不同領域,透過層層監督審查機制建立P-Mark的公信力。

一、隱私標章制度委員會
由外部專家、教授、企業和消費者代表、律師等共同組成,負責制度審議與維運、取消P-Mark標章使用資格、指定審查機構等工作。

二、審查機構與審查委員會
當企業提出申請P-Mark需求時,必須由審查機構進行書面與現場審查,評估申請者是否符合JIS Q 15001:2006的規範,並產出審查報告書,交由審查委員會決定能否授與隱私標章。審查委員會的組成,與隱私標章制度委員會的組織成員類似,一樣由外部專家、教授、企業和消費者代表、律師等組成。

至於哪些單位可以擔任審查機構?隱私標章制度委員會訂有「隱私標章授證審查調查機構指定基準」,只要符合相關條件者,就可以申請成為審查機構,由隱私標章制度委員會決定是否通過。目前日本共有19個指定審查機構,1個隸屬於JIPDEC編制下的審查業務室,12個產業審查機構(只接受特定產業提出的申請),以及6個地區審查機構(只接受位於特定地區企業所提出的申請)。

三、審查員資格評估委員會
審查機構受理企業提出的申請,實際執行審查作業的則是審查員,若要成為P-Mark審查員,必須接受特定訓練才可以。截至20113月為止,JIPDEC共指定5個機構辦理P-Mark審查員訓練,首先要接受為期5天的課程,才能成為助理審查員,之後若升為審查員,還須接受半天的訓練課程,最後則是主任審查員,JIPDEC成立了一個審查員資格評估委員會,負責審查員的資格審核,至20119月底,日本共有1,189位審查員。

四、消費者申訴窗口
JIPDEC組織和每一個審查機構下,皆設有消費者申訴窗口,負責受理消費者對企業個資保護相關的疑問或投訴,假如取得P-Mark標章的企業發生個資外洩事件,也會介入調查並要求改善。目前,JIPDEC組織在消費者申訴窗口的人力編制,除了經理、助理各1名之外,還有4個正職顧問及1個兼職顧問。

五、異議審查會
最後還有一個異議審查會,此為機動性編制。只要有任何與隱私標章本體、申請企業、審查委員身份有關的爭議,隱私標章制度委員會就會啟動異議審查會機制,直到爭議解決為止。

回到台灣TPIPAS來看,由於目前還在試辦階段,輔導、驗證及教育訓練皆由資策會科法中心負責,至於未來規劃,經濟部商業司7科科長陳威達表示,目前構想為,開放輔導廠商的身份限制、不做總量管控,只要提出書面申請,經過基本審查程序就可以,至於驗證廠商的門檻較高,必須經過嚴格的資格審查,且會管控數量,預計只開放23家,而標章發放工作仍由商業司來負責,但陳威達強調,這只是初步規劃,還須經過內部開會討論,預計年底才會有明確的方向。


原文網址:向日本P-Mark取經 看隱私標章如何建立公信力,Information Security 資安人科技網http://www.isecutech.com.tw/article/article_detail.aspx?aid=6471#ixzz1jgRwyCsw