《個人資料保護法》正式公告實施後，讓台灣個人資料保護邁入新的里程碑。近來頻頻發生資訊安全外洩事件及侵害個人隱私資料事件，因而喚起社會大眾對個人資料保護意識。在此環境下若無完善之資訊安全防護機制及個人資料保護的措施，很容易造成個人資料外洩的問題，尤其個資法實施後，一旦發生個資外洩事件，不僅衝擊組織的形象，更可能面臨法律責任及鉅額賠償的問題。

個案學校雖然每年透過第三方取得資訊安全管理標準ISO 27001 驗證，已提供完善的資訊安全的防護基礎，但是校方在面對個資法的衝擊及教育部要求之下，需以保護個人資料的角度來審視現行的資訊安全制度，以降低校方所面臨的法律衝擊及加強保護個人資料的安全措施。

本研究透過個資法、資訊安全及個人資料保護等相關文獻進行探討，並審視校方的資訊安全措施及資訊資產的盤點來了解校方目前的現況。最後依據個資法、個資法實行細則規定及利用個人資料生命周期，逐一分析校方在法令上所面臨衝擊及問題。

針對衝擊及問題，在符合個資法及配合校方已實施資訊安全管理系統 (ISMS) 的條件下，採用 BS 10012 個人資料保護系統 (PIMS) 及PDCA管理循環的作法，本研究提出因應個資法衝擊之改善方案，並規劃個人資料保護系統的實施步驟，利用由上而下的改善方式，透過擴大校方原有的資訊安全制度，來完善個人資料保護的深度及廣度，降低校方誤觸個資法的風險，進而達到保障個人資料之目的。

The official announcement and implementation of the “Personal Information Protection Act” has propelled the privacy protection issue in Taiwan into a new era. Recently, frequent occurrence of information security leaks and data privacy violation events has awakened public awareness concerning this issue. Personal information leakage is likely to happen under circumstances without comprehensive information security protection mechanisms and personal information protection measures in place. Especially after the implementation of the “Personal Information Protection Act,” personal information leakage incidents will not only impact the image of the organization but also result in legal liabilities and severe damage compensation.

Having already acquired information security management ISO 27001 annual certification through a third party, University “S” is covered with a comprehensive information security protection base. However, the university is still faced with the impact of “Personal Information Protection Act” and the related requests from the Ministry of Education. It must further examine the existing information security system from the viewpoint of personal information protection to reduce the legal impact and strengthen security measures to protect personal information.

This study aims to provide a solution for the university facing such a problem. First, a review of relevant literature concerning the “Personal information Protection Act,” information security, and protection of personal information is conducted. Second, it seeks to understand the current status of the university through examining the information security measures and information assets. Third, it analyzes the legal impact and issues faced by the university in accordance with the “Personal Information Protection Act,” Personal Information Protection Act Enforcement Rules, and the use of personal information life cycle.

Finally, based on the Personal Information Protection Act and Information Security Management System (ISMS) implemented by the school, this study also adopts the BS 10012 Personal Information Management System (PIMS) and PDCA viewpoints, it proposes a set of actions in response to the impact of the Personal Information Protection Act. Detail implementation steps are also outlined. We adopt the top-down improvement method to improve personal information protection in depth and breadth, reduce the risk of violating Personal Information Protection Act, and achieve the purpose of protecting personal information by expanding the existing security system of the university.

【中文文獻】
1. 余昌霖 (2013)，以ISO27001為基礎探討個資法對電信業者的影響－以F公司為例，中央大學資訊管理學系碩士在職專班學位論文。
2. 吳喜琳 (2010)，以ISO27001控制標準評做個人資料保護法的資訊安全管理，台灣科技大學資訊管理研究所碩士論文。
3. 林奇德 (2013)，以個案研究法探討企業因應個人資料保護法落實策略實務，中央大學資訊管理學系碩士在職專班學位論文。
4. 邱映曦 (2013)，個人料保護法制與組織內管理及資安思維之探討，資訊安全通訊，第19卷第1期，頁119~132。
5. 張天宇 (2012)，以PMBOK®方法論探討BS 10012個資管理制度專案規劃，交通大學管理學院運輸物流學程學位論文。
6. 張正宏 (2012)，探討銀行業ISO/IEC 27001: 2005 資訊安全管理現況－以T 銀行為例，中央大學資訊管理學系碩士在職專班學位論文。
7. 黃泓銘 (2012)，企業資訊安全體系(ISO27001)導入之研究─以個案公司為例，中央大學管理學院高階主管企管碩士班論文。
8. 黃昭勇、謝明玲、何榮幸 (2013)，風暴省思 最嚴厲的個資法 何去何從？，天下雜誌，第514期。
9. 詹前隆、黃依賢、黃慶裕 (2012)，組織導入資訊安全管理制度之效益探討，資訊傳播研究，第3卷第1期,頁73~92。
10. 鄒宛璉 (2011)，以BS 10012為基礎評估大專校院導入個人資訊管理制度之研究，淡江大學資訊管理學系碩士班學位論文。
 
【英文文獻】
1. ISO/IEC (2005), ISO/IEC 27001 Information Security Managerment System－Requirements.
2. BSI (2009), BS 10012 Standard, Data protection－Specification for a personal information management system, British Standard Institution, London.

【網路文獻】
1. iThome online (2010)，中小企業的個人資料保護之道。Retrieved 4/10, 2014, from http://online.ithome.com.tw/privacylaw/article/63586
2. iThome (2012)，個資法大調查－因應現況篇。Retrieved 4/10, 2014, from http://www.ithome.com.tw/node/76882
3. 中國信託 (2014)，中國信託網路銀行。Retrieved 3/18, 2014, from https://consumer.chinatrust.com.tw/html/fileUpload/privacy_announce.html
4. 法務部 (1995)，全國法規資料庫－電腦處理個人資料保護法。Retrieved 5/14, 2014,from http://law.moj.gov.tw/LawClass/LawOldVer_Vaild.aspx?PCODE=I0050021
5. 法務部 (2010)，全國法規資料庫－個人資料保護法。Retrieved 5/14, 2014, from http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021
6. 法務部 (2012)，全國法規資料庫－個人資料保護法施行細則。Retrieved 5/14, 2014, from http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050022
7. 花俊傑 (2010)，BS 10012 個人資訊管理標準簡介。Retrieved 2/10, 2014, from http://jackforsec.blogspot.tw/2010/06/bs-10012.html
8. 恆逸資訊教育中心 (2014)，BS 10012：2009標準。Retrieved 5/2, 2014, from http://www.uuu.com.tw/Public/content/Edm/100722_bs10012.htm
9. 張紹斌 (2011)，企業對「個人資料保護」之基礎認識。Retrieved 3/28, 2014, from http://tanet28.kh.edu.tw/file/1000714-2.pdf
10. 教育部校園資訊安全服務網 (2014)，102年度教育機構個人資料保護工作事項 。Retrieved 8/1, 2013, from http://isms.yuntech.edu.tw/index.php?option=com_docman&task=doc_download&gid=157
11. 教育部電子報 (2010)，學術、政府單位個資外洩 最重罰二億。Retrieved 2/18, 2014, from http://epaper.edu.tw/topical.aspx?period_num=424&page=0
12. 黃彥棻 (2010)，學習英國個資保護標準 從根本做好個資保護。Retrieved 4/18, 2014, from http://www.ithome.com.tw/node/62797
13. 經濟部標準檢驗局 (2006)，CNS 27001：資訊技術－安全技術－資訊安全管理系統－要求事項。Retrieved 5/2, 2014, from lms.ctl.cyut.edu.tw/sys/read_attach.php?id=1823136
14. 資誠聯合會計師事務所 (2012)，世新大學個資保護因應對策。Retrieved 2/10, 2014, from
http://www.shu.edu.tw/a50/WEB/Document/e01/1011121-1020621/03-101113001.pdf
15. 零壹科技 (2014)，個人資料保護法施行細則重點。Retrieved 4/10, 2014, from http://www.zerone.com.tw/privacydata/index_2.html
16. 暨南大學 (2014)，暨南大學報名系統。Retrieved 3/18, 2014, from http://www.exam.ncnu.edu.tw/103E7/7ApplyBankAcc.php
17. 臺灣個人資料保護與管理制度規範 (2012)，TPIPAS制度規範。Retrieved 3/23, 2014, from http://jackforsec.blogspot.tw/2010/06/bs-10012.html