個人資訊保護法上路,身為HR的您準備好了嗎!

個資法對HR有何影響?要如何因應呢?

個資法於今年的十月一日開始上路,為因應個資法議題,公司在舉辦的「雲端世代下新版個資法對企業HRM系統之影響與衝擊研討會」的茶敘時間中與許多來賓閒聊,發現其實多數人對於即將上路的個資法仍然非常陌生,許多人反應個資法的議題雖然已經討論好一段時間,不論是資安軟硬體廠商或是顧問公司也都舉辦許多與個資法議題相關的研討會,大多是推銷自家的硬體產品或是資安防護軟體之功能,但是真正與HR同仁解說應該注意的事項以及現行人事薪資系統或人力資源系統應該有的防範措施與功能之研討會卻是非常少.我想這也是為什麼此次的研討會會在短短幾周的時間報名人數就額滿的最大原因了!

  研討會結束後,分析來賓留下的問卷或是來電諮詢大致上可以分成兩個層面,有許多來賓對於公司內部各種不同的資料庫或是書面保管的資料,到底哪些要納入個資法的管控,包含企業客戶的聯絡人資料或是HR常會建置一些配合的講師資料、財務單位會有會計師、股東、監察人等等的資料,幾乎企業內每個部門都可能會建置或保管許多自然人的資料等;對於HR來說這些事項幾乎很難統一管理,甚至有些單位所建置或流通的資料,HR單位根本不清楚有該份資料,管理不易是許多客戶共同的困擾與疑問.另一個層面是針對公司內部使用的人事薪資系統應該要有那些管控點才能符合個資法的規範呢?關於上述兩個層面的疑問說明如下:

到底哪些要納入個資法的管控

首先針對第一個層面提供以下幾點建議:

(1)企業內部應該要先成立一個個資法專案團隊,成員一般會有公司的法務、人資、公司指派之專案經理人
(2)由此專案團隊招集各部門主管,內部先進行現行各系統與資料的盤點,看看現有的各系統與保管資料有哪些與個資法相關;
(3)個資盤點後,需要討論並核定公司各人員執掌的權限,那些執掌可以看到自然人的那些資料,不歸該執掌權限可查閱或取得的資料,就需要加以防護與管理.
(4)要核定內部個資管理規範與個資申請流程,當有個資需要時必須經過適當的申請流程,方可取得該資料.
(5)定期對內部員工進行教育訓練,讓員工了解個資法的規範以及公司管理的規定,重點是要員工遵守個資法,並小心保管個資資料.
(6)人資單位須擬定員工個資蒐集同意書,並提供給現行在職員工填寫,表示公司蒐集所有員工的個資均經過員工的同意,甚至面試人員填寫的人事資料卡或履歷表也要加註個資蒐集同意之說明與簽認.
(7)資訊單位要確保公司內部現有的電腦硬體Server和個人工作電腦及公司內部的防火牆,是否有符合科技當代水準,盡心盡力的去維護資訊安全.
(8)各系統資料庫存放於機房,機房進出有無安全管理機制,非任何人員均可進入,進出機房有無保留進出軌跡.

企業現行的HR源系統應有那些防護?

HRM個資保密另外,關於企業現行的人事薪資或人力資源系統,應該要有那些防護呢?個資法針對自然人需要保護的規範包含:姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。其中紅色字樣往往在人事薪資或人力資源系統中均會有建置這些資料,所以HR系統應該要能夠做到以下三點管控:

(1) 傳統的系統表單權限管控通常是針對該表單那些人能夠執行(閱覽)、新增、修改、刪除、列印、轉出Excel以及可閱覽那些人員部門的資料進行管控.但員工基本資料表通中具有自然人需要管控的相關資料,一般ERP或HR系統權限設定只以表單的執行動作為單位來設定,無法by每個自然人須管控與保護的欄位進行獨立的權限設定,舉例說明,如果公司福委會人員因負責發生日禮金,所以他的權限應該只能看到人員基本資料表中”姓名””出生日期””部門””身分證”等資料,考量人員姓名可能相同,所以多提供身分證欄位權限給福委會負責發生日禮金之人員,但應該只能看到身分證的前三碼後三碼,中間用*字號顯示.以上述的舉例,現行許多系統就無法支援此項設定,如果所配合的軟體廠商確定無法修改(因此管控邏輯與原系統邏輯差異甚大,修改異動幅度也很大)此時HR人員就必須評估繼續用這套系統之風險.

(2)資料庫中針對自然人需保戶的資料是否有加密的防護,市面上有的廠商在資料庫中並未進行加密作業.有的採用SQL內建的公鑰私耀之方式加密,但此種加密方式可能存在三個風險,a.人員保管金鑰遺失之風險b.加密金鑰遭惡意軟體複製或竊取之風險c.此邏輯為SQL內建之功能,如聘僱之人員或有心人士精通SQL,可能就存在破解的風險!正航HR系統採用的是自行開發的亂數加密邏輯,即便企業內部聘僱精通SQL的工程師,此邏輯也與公私鑰邏輯不同.增加資料的安全性,此外也要留意貴司所使用的系統針對資料庫加密後,在系統使用上有無造成效能上的影響.
HRM個資保密

(3)個資法規範自然人有權向企業提出個資被查閱的紀錄,大部分的ERP與HR系統雖然能夠紀錄各表單曾經有哪個帳號於甚麼時間進入系統進行新增、修改、刪除、列印、轉出等行為,但是通常不會針對員工基本資料閱覽的動作留下軌跡.這點管控最好能依照企業實際需求自行決定是否啟用,避免Log記錄檔可能會太大!

上述三點管控對於系統廠商異動的幅度非常大,也因為如此所以尚有許多人事薪資系統軟體廠商尚未提供相關的解決方案!這也是HR管理者需要後續留意與評估的!

個資法的管理精神

以上幾概略的把公司管理流程面與系統面需要注意的事項提出幾點和大家分享,個資法的管理精神重點在尊重當事人的同意、個資權限拆分與管控、資料庫的加密與防護、保留資料擷取與閱覽的軌跡紀錄、定期教育訓練讓全體員工有個資安全的防護意識.相信只要做到上述各項規範,就能夠有效的防止個資外洩.