個人資料保護顧問的旗艦店

個資盤點最重要是找出機關內所有存在的個人資料，不論個人資料是以什麼形式存在。經過訓練之員工可以在一致的盤點手法下，對機關之營運流程、過程所接觸之個人資料、個人資料之型態與內容、接觸之人員、以及這些個人資料現在是如何被管理等進行盤點。

但個資盤點麻煩的並不是盤點的方式與手法，而是盤點過程中，到底哪些要被視為個人資料，因為依據個人資料保護法之規定，可以間接識別的個人資料也算是個人資料；而儲存在電子媒體上的個人資料檔案類型又多不可勝數，只要有一項個人資料未盤點到，後續可能引發之衝擊與風險，恐怕就不是機關所能等閒視之。

機關需完成盤點對象：

8  與個人資料檔案相關之營運流程盤點

8  個人資料檔案接觸單位盤點

8  是屬於個人資料之蒐集、處理或利用的哪一類

8  個人資料檔案類型盤點（紙本、Microsoft Office檔案、PDF、…）

8  個人資料檔案儲存媒體盤點（非數位媒體 / 數位媒體）

8  個人資料檔案儲存區域盤點

8  找出在哪些營運流程中、何人、何時、何地、對哪些個人資料、進行哪些接觸

8  人工盤點 v.s 自動盤點

個資盤點內容

我們以一家企業員工報到流程作為範例說明:

1.因為市面上還沒看到非常精確的個資盤點自動化工具，所以本書以人工盤點進行說明

2.因為用以進行個資盤點的欄位過多，很難全部呈現在畫面上，所以這邊僅重點提示個資盤點表需要具備之項目，讀者可依實際需求自行增減:

個資盤點需蒐集之項目如下：

8  與個人資料相關之營運流程與作業

8  所使用之個人資料檔案

8  個資行為

8  整個作業過程中接觸之人員

8  個人資料檔案是否符合個資法相關告知、取得同意之規範

8  個人資料檔案是否屬特定目的內之利用，若不是，是否有明確取得書面同意

8  所蒐集、處理或利用之個人資料檔案在機關內之保管與使用情況

8  是否會進行國際傳輸

8  是否有其他利害關係人（包括委託或受委託）在此作業流程中協同運作

8  個人資料檔案中所有使用之個人資料類別

8  由誰提供此一資料

產出資料

機關內完成個人資料盤點後，至少必須產出下列資料，否則就不算完成盤點：

8  個人資料檔案清冊：

Ø   個人資料檔案名稱

Ø   持有依據

Ø   持有單位

Ø   特定目的

Ø   檔案類型

Ø   提供者

Ø   蒐集之作業名稱

Ø   流程名稱

Ø   取得方式

Ø   存放方式

Ø   儲存地點

Ø   是否已完成告知程序

Ø   是否已取得當事人同意

8  個人資料檔案處理說明：

Ø   個人資料檔案名稱

Ø   檔案類型

Ø   提供者

Ø   取得來源

Ø   處理單位

Ø   處理措施

8  個人資料檔案利用說明：

Ø   個人資料檔案名稱

Ø   檔案類型

Ø   持有單位

Ø   取得來源

Ø   利用單位

Ø   利用說明

Ø   利用範圍

個人資料檔案清冊

本章範例共盤點出下列個人資料：

8  國民身份證件正、反影本

8  特約銀行開戶存摺封面影本

8  最高學歷畢業證書影本

8  戶口名簿或戶籍謄本全戶影本

8  健保轉出單影本

8  退伍令證明影本

8  兩吋彩色正面半身近照

8  健康檢查結果

8  個人基本資料 - 紙本

8  全民健康保險保險對象投保申報表

8  勞保、健保及勞退3合1表格

8  ○○○人壽團體保險申請表

8  聘僱同意書

8  ERP員工基本資料

8  電子郵件

8  AD帳號

 範例共16項個人資料檔案，請讀者依第六章介紹之方式，逐一確認這些個人資料中是否有個人資料類別（就是我們常說的個人資料欄位資訊，例如：姓名）需要擬定告知事項。

後續將以此16項個人資料檔案進行範例說明。

個人資料檔案處理說明

找出所有個人資料檔案後，下一步需找出所有跟這些個人資料檔案有關之處理作業，其目的主要是在進行後續風險分析以及資料、設備與人員安全管理時，能掌握每一個個人資料檔案被哪些人動過哪些手腳。

個人資料檔案利用說明

此步驟需要找出所有跟這些個人資料檔案有關之利用作業，其目的主要是在進行後續風險分析以及資料、設備與人員安全管理時，能掌握每一個個人資料檔案是如何被利用、以及被利用之內容有哪些。