全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
永慶房屋因應新版個資法 進一步做外寄郵件審核
文/iThome (記者) 2009-08-24
永慶房屋在2005年已被要求適用舊版個資法,為了落實對客戶個資使用的承諾,除了尊重客戶拒絕的權利,也全面審查對外寄送電子郵件,確保個資不外洩

房仲經紀業者在2005年1月已經是第一波擴大適用納入《電腦處理個人資料保護法》的適用行業了。永慶房屋總管理處資訊部協理陳澤維當時就是簽署可以蒐集、處理和利用客戶個資的主管單位,除了依法向事業主管機關辦理登記許可外,當時永慶房屋便已經將所有可取得個人資訊,包括委託或成交客戶的基本聯絡資料及物件資料,不論是否經過電腦處理,都列入個人資料保護的範圍當中。

陳澤維說,當時在法律規定1年的適應期間,永慶房屋花了3~5個月的時間做整個業務流程的盤點,並確認哪些是業務流程的關鍵點,做好相對應的管控外,因應擴大適用《電腦處理個人資料保護法》,永慶房屋也重新印製各種契約、收據,所有的表單流程也必須調整和做強化資安。

「但這樣還不夠,」他說,但資安的關鍵還在「人」,內部溝通到有共識,才是資安最重要的關鍵。因為永慶房屋保護的個資,不僅止於電腦處理的範疇,陳澤維表示,為了強化同仁對處理客戶個人資料的敏感度,除了透過內訓、個案宣導等方式進行法規宣導外,為了落實保護客戶資料,也和同仁簽署新的勞工契約和資安切結書。對於新進同仁,在新人報到時會宣導個資法,教導如何做好、處理並保護客戶資料的SOP(標準作業程序)。

新版個資法尊重客戶的拒絕
個資法沒做好,對企業造成最大的影響就是商譽損害,因此,要更尊重客戶個人資料被使用的意願,陳澤維說,這也和新版個資法——所有資料取得、使用,都必須徵得當事人同意,以及首次行銷必須給予回絕管道的精神相符。

永慶房屋為了符合這樣的精神,重新設計流程,陳澤維說,為了讓客戶知道永慶房屋如何使用他們的資料,切實做到向客戶確認,是否願意提供個人資料給永慶房屋使用,包括發送電子報或後續行銷等,都尊重客戶拒絕的權利。

另外,除了對於儲存系統中的客戶資料做到安全保護外,並對使用者做嚴格的權限控管,進一步做到外寄電子郵件的稽核和審核,以確保客戶資料的使用是安全的。

審核外寄Email,保障客戶個資
搭配個資法的強化落實,陳澤維說,他也要求IT部門落實安全的程式開發,避免相關的SQL Injection(隱碼攻擊)或XSS(跨網站攻擊)等問題。在呼叫SQL語法時,更統一過濾一次不必要的指令、字串,讓SQL查詢更嚴謹。

永慶房屋承諾客戶,內部同仁會安全使用其個人資料,為了更進一步落實這個對客戶的承諾,永慶房屋從2008年開始稽核對外發送的郵件。

第一階段推動電子郵件稽核。在進行郵件稽核的過程中,陳澤維發現,對外寄送的電子郵件是公司客戶資料外洩風險最大的關卡。因為稽核郵件碰運氣成分相當高,這也困擾著陳澤維,「如果永慶不做電子郵件審核,怎麼敢跟客戶承諾,真的已經妥善地、安全地使用客戶的個人資料呢?」

因應新版個資法即將實施,永慶房屋從原本稽核電子郵件,一直到現在全面性的審查每一封對外發送的郵件。剛開始半年多,先做系統的調整,漸次推動並和各部門同仁溝通此一政策推動的目的,是為了降低客戶個人資料能安全、正確被使用,進而確保公司個人和公司的安全。

陳澤維說,當時原本希望是專人審核對外發送的電子郵件,但在主管會議討論時會發現,有些敏感資料是否適合讓負責審核郵件的專人看到?最後,規定由直屬主管做郵件審核,並規定直屬主管的長官是代理人。此舉,對效率衝擊不大,但對心理衝擊比較大。因此必須積極溝通,讓員工有共識。

最後大家同意由直屬主管審核,先找IT、行銷和總經理室等3個單位試行。在技術層面上,原本是希望把Outlook拿掉,全部寄信都透過電子表單,但這個方法因為效率太差而不可行。後來則是不改變員工現有的工作習慣,只是員工對外寄信時,會先在歸檔系統待審查,並發出郵件審核通知給主管,等主管審核完後,就可以把信寄出去了,未審過則退回給發信人。

永慶房屋推動電子郵件稽核到審核,若加上事前的溝通調查,總共8個月,但要克服相關的技術,大約只花1個半月就完成客製化的技術層次。陳澤維說,這個電子郵件審核的政策能推成,除了人和——同仁們有共識外,個資法即將過關的天時,和企業對資安重視的地利,才讓難度甚高的電子郵件審核能順利推動。

陳澤維認為,個資法即將過關,營造的是一種企業和客戶互信的過程,客戶信任企業,才願意提供個人資料讓企業使用,企業才能提供更精準的服務給客戶。若沒有這個信任的過程,企業要取得正確資料的難度會更高,連帶會對順暢的商業活動造成影響。

如欲觀看原始文章報導,請參考:個人資料保護法 何時會三讀通過?/a>

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome