委外業務個人資料風險控管：稽核理論與實務

業務委外之分類與個資風險

隨著全球化與專業分工趨勢，台灣企業也越來越能接受將非核心業務交由可信任之伙伴並肩作戰，增加市場競爭力。然而如何確認服務品質，以達成策略結盟之綜效，需要有方法可以證明無論在商譽、名聲、策略，皆具有比其他同業更為出色的優勢。業務委外及委外伙伴一般可分為以下三類：

一、公司內部業務委外
二、透過第三方提供客戶服務
三、受委託廠商以公司名義提供服務

因為委外造成的法規遵循風險，自從個資法上路以來，又增加個資外洩、個資委外查核責任風險。

委外個資風險與控管

台灣個資法於2012年10月1日正式施行以來，掀起一波個人資料保護制度建置風潮，金融機構及各企業多已制訂書面制度並納入內部稽核程序，部分公司或機關甚至已經通過BS10012:2009 PIMS驗證。

依據現行個資法，公司或機關只要將資料交付第三方處理，雙方皆負管理職責。

委外查核

目前已建立個人資料管理制度之公司或機關，多數將前述個資保護條款之精神調整加入新的委外合約中。然而所謂「管而不教則死，教而不管則亂」，為了避免有制度而未施行的管理窘境，稽核制度乃是落實個資保護非常重要的一環。透過內部稽核制度，公司可以檢視執行成效以及預先發現資訊安全弱點。

查核常見困難

個人資料委外查核之落實，需要透過溝通協調。透過外部專業顧問讓兩造雙方瞭解委外查核是一個可達到委託方善盡監督及受託方藉此機會作自行檢查的雙贏機會。就委外查核最常遇到第一項難關就是委託廠商不願意接受查核，在不同的產業所面臨的不同困難

委外查核解決方案

建議公司或機關在執行個資委外查核時，應先做好溝通事宜，確認受託方可接受查核後，應避免地毯式搜索合作伙伴公司引起不必要的爭執，而應著重在委外廠商資安或是作業程序中之關鍵弱點，並將委外查核視為合約生命週期之一部分。