不知在稽核的訓練課程中是否有這樣一個章節，要在受查單位最忙亂的時候進行查核，每次稽核來進行查核的時間，都是手邊工作量最大的時候。今年還碰到內部稽核和會計師事務所選在相同的時間來查核。個資法當然是今年的重點，雖然相關的工作不是我們在執行，但後面的解決方案幾乎都算是資安的工作，稽核們有時就抓著一個人從頭問到底，往往覺得回應稽核的問題比執行專案還要麻煩。
今年的狀況也不例外，進到稽核的會議室劈頭就被問：「因應個資法，你們怎麼去確認個人資料的正確性？」

「我們有資料修正的流程，你是指這個嗎？」

「我知道你們有這樣的流程，但我是說你們拿到這樣的需求要怎麼去確認裏面資料的正確性，還是使用單位提什麼你們就改什麼？」

「資料修正當然是依照需求單位所提出的內容，然後確認最後的結果是不是一樣。」

「那這樣不行喔，你們接到需求時沒有再和當事人確認他的資料是不是正確，如果需求單位提出來的資料就是錯的怎麼辦？」

「很多時候我們修正的資料都只有某幾個欄位，我們也沒有客戶的聯絡資料，更何況如果是客戶提出來的，我們再打電話過去不是很奇怪嗎？」

「但是個資法有提到維護資料的正確性，最後這一關就在你們這，如果你們再不確認，害了公司違反法令，那你們要付這樣的責任嗎？延伸下來的例子，如果有大量個人資料需求的時候，你們一定也不會去確認是否和當初蒐集目的一致。」

「這應該是使用單位的責任啊，只有他們最清楚當初的蒐集目的，客戶的同意書我們也不會有，那我們以後是不是只要有個資需求的時候，就要請使用單位先提出所有的同意書之後再執行？」

「你們怎麼做我不管，反正你們也不確認資料的正確性，也不知道使用目的為何，這些都是嚴重違反個資法的行為，你們到時候等稽核報告出來，再來回覆要怎麼做就好了。」

對於個資法的條文內容，現在還有很多需要討論的空間，但最基本的觀念，個資法針對的對象，是公務機關、非公務機關及自然人，絕對不是xx單位的某部門，也正因為如此，沒有辦法要求組織內每一個部門每項作業均依照個資法來執行，必須要從整體面來考量，但也因為很多單位沒有一個專責的部門在負責這項業務，所以到頭來就是誰做誰倒楣。如果真的如稽核所言，那未來作業流程的時間一定要延長，到時候難保類似個資法本身不符合實際作業的理論又會出來，甚至要求立法從嚴、執法從寬，只要有幾項符合個資法就可以了，但這些都不是我們所預見的。只是我要怎樣回覆稽核核查核報告，這可能才是我的當務之急。

友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=13&aid=7658

更多資訊來源 : <www.pronew.com.tw>