KPMG：因应GDPR，台湾高科技业者应客户要求也动起来

欧盟最严格个资保护法GDPR（欧盟通用资料保护规则）即将于今年5月25日正式实施，KPMG（安侯建业）资讯科技咨询服务执行副总经理谢昀泽观察，今年开始，除了原本有欧洲分行的金融业者外，台湾高科技制造业者、物联网产品的元件、产品或服务的供应商，也受到来自各自客户的压力，基于供应链安全的关系，要求台湾业者必须符合欧盟GDPR对于个资保护的规范，台湾企业才连带地开始加速GDPR的因应。

他解释，半年前，台湾企业对于因应GDPR态度相对冷漠、无感，甚至认为只要没有跟欧洲做生意或者是在欧洲有分公司或子公司，GDPR并不会影响到台湾企业，直到最近迫在眉睫了，台湾企业才开始有动作。不过，谢昀泽认为，该做的事情还是一样，不能因为时间接近而不做，甚至是，即便已经过了正式施行的时间，只能加速脚步，把该做的事情做完。

他表示，第一件事情要做的就是资料保护冲击评估（DPIA），仔细盘点企业所拥有的个人资料有哪些，从资料收集的流程开始，是否符合相关规定，且评估是否有其他的风险；其次，必须要评估是否有设立资料保护官（DPO）的必要性，以及这个资料保护官是要由谁担任甚至是集团指派单一资料保护官或是委外等，都是必须深入思考的选项。

最后，其实也是许多企业目前有最多疑问的部分，那就是，是否有一套所谓的标准规范或验证机制，可以协助企业迎战GDPR？而许多企业原本就已经取得的资安或者是个资保护的认证机制，是否还持续有效呢？

短期内，至少到2018年底，谢昀泽表示，企业目前所取得的认证，不论是可以取得认证的ISO 29151（个资保护控制）、ISO 29134（隐私冲击分析）、ISO 27001（资讯安全管理）针对云端服务的认证ISO 27017、IS 27018，或者是英国推出的BS 10012（个资保护认证），甚至是无法取得认证的ISO 29100（隐私权框架）等，都应该可以从隐私冲击分析到风险评鉴，协助企业做好个资相关的保护。

他强调，即便GDPR即将在5月25日正式实施，但这个法还有其他许多配套法律，还在慢慢的对外公布中，可以确定是，2018年底前，目前的认证应该都可以扮演协助企业，从各种角度符合GDPR规范，包括已经进行BS 10012： 2017年新版验证企业，可持续依据标准内容持续落实，并参考ISO 29134与ISO 29151标准，强化DPIA（隐私冲击分析）与个资保护控制措施。

但谢昀泽表示，以KPMG对于客户隐私保护验证的规划与建议，2019年之后，就会建议企业可以无缝接轨到ISO PIMS系列的认证，“KPMG预测根基于ISO 27001资安标准上之ISO 27552标准，配合ISO 各项个资参考指引（以上合称ISO PIMS），将为未来验证主流。”包括即将公布、在ISMS基础上延伸扩充管理制度，以实施适当资安控制措施以保护个资的ISO 27552，和ISO 27001系列，以及针对云端服务业者的ISO 27017等认证。

KPMG资讯科技咨询服务执行副总经理谢昀泽表示，预计到2019年，要因应GDPR个资保护的规范，都可以考虑采用ISO PIMS的相关标准。。