臺灣博碩士論文加值系統

2010年4月27日立法院三讀通過了個人資料保護法，這讓個人資料保護議題受到社會大眾的重視。在未來企業組織無論規模大小、擁有個人資料數量多寡都會受到個資法規範，此法進而影響企業在顧客資料蒐集、員工資料處理及行銷方式等等的運用，加上個資法對於受罰企業在刑責與罰則的加重處理，賠償金最高可求償兩億元，此法無疑對企業組織造成衝擊。因此積極著手規劃及實行個人資料的資安防護是企業現階段重要的研究課題。
ISO 27001是資訊安全管理系統的國際標準，但企業遵循ISO 27001無法代表對於個人資料保護工作的完整性。加上現有企業資訊安全主要重點是放在營運機密資料，較少以客戶的觀點出發，造成個人資料保護上有所不足，提升企業觸法的可能性。因此對於企業組織來說，必須調整與建置合適的資訊安全架構來控管個人資料作業流程以符合法規要求事項。但企業的建置及調整是否得當、是否遵循法規或是否善盡個人資料保護義務就需要一套完整的管理機制做為依循標準。
本論文主要是採用Gowin’s Vee的研究策略，在理論端先透過文獻探討方式蒐集國外個人資訊管理系統(Personal Information Management System)並與國內個人資料保護法結合，歸納出一套包括四個控制領域、十五個控制目標與七十五個控制項目的企業隱私權保護管理機制雛形。接續透過德爾菲問卷請專家修正及提供建議，並新增為七十六個控制項目。最後在方法端透過個案研究與使用認知意願問卷，確立企業隱私權保護管理機制的可用性、影響及貢獻。而藉由本研究成果，期望能夠提供一套個人資料保護的管理制度，提供企業組織無論是否已有導入個資法解決方案，都可做為參考與遵循之用，幫助企業達成遵法目的，降低罰鍰與訴訟風險且讓企業善盡個人資料保護與管理職責。

The Legislative Yuan passed the Personal Data Protection Act on April 27th, 2010, and it let the personal data protection issues call the public's attention. In the future organization, regardless of their size or the amount of personal data, will be subject to the Personal Data Protection Act. It affect the data collection and processing way and the marketing practices, and it also increase criminal penalties and compensation that is up to $200 million when the enterprise is against the law. Therefore, the enterprise should engage in planning and implement information security protection of personal data at this stage in quickly.
ISO 27001 is an international standard of information security management system. But this is not representative for the integrity of personal data protection in the enterprise when they follow ISO 27001. The enterprise’s information security is focus on the confidential information and less to the customer's personal data. As a result, it make inadequate on personal data protection and enhance the possibility of conflict with the law. In this situation, the enterprise must adjust and build the appropriate security structure to control personal data processes to meet compliance requirements. So they require a complete set of standards to follow to ensure the enterprise adjust properly, comply with regulations, and fulfill the obligation of protecting personal data.
This study applies the Gowin's Vee research strategy. In the conceptual side, we sorted out 4 control domains, 15 control objectives, and 75 control measures which develop the Enterprise Privacy Protection Management Mechanism by literature review about Personal Information Management System and Personal Data Protection Act. Then we apply the Delphi Expert Questionnaires to fix this mechanism and add a new control measure. In the methodological side, we use the case study to verify and assessment the practicality and availability of this mechanism. This research shows that the research outcome, the Enterprise Privacy Protection Management Mechanism, provides organizations a reference and compliance purpose to help them obey the law, reduce the risk of litigation, and fulfill the responsibilities of protect personal data.

第一章 緒論 1
1.1 研究背景與動機 1
1.2 研究問題與目的 5
1.3 研究策略與架構 6
1.3.1 專注問題與研究目的 9
1.3.2 理論端(文獻端) 9
1.3.3 方法端(實證端) 10
1.3.4 互動與回饋 11
第二章 文獻回顧與探討 12
2.1 個人資料保護法 13
2.1.1 資訊隱私權 13
2.1.2 國際個人資料保護法發展與現況 15
2.1.3 我國個人資料保護法發展與現況 18
2.1.4 新版個人資料保護法之變革 24
2.2 企業資訊安全政策與管理 28
2.2.1 資訊安全 28
2.2.2 資訊安全管理標準 34
2.2.3 個人資料的資訊安全問題 42
2.3 企業隱私權保護管理機制 45
2.3.1 國外企業隱私權保護管理制度與重點 45
2.3.2 以個人資料保護法為基礎的企業隱私權保護管理機制 56
第三章 研究方法與設計 73
3.1 德爾菲法 75
3.1.1 德爾菲法介紹 75
3.1.2 德爾菲法之研究設計 77
3.2 個案研究法 81
3.2.1 個案研究法介紹 81
3.2.2 個案研究法之研究設計 84
3.3 科技接受模式(TAM) 85
3.3.1 科技接受模式介紹 85
3.3.2 使用認知意願問卷 89
第四章 企業隱私權保護管理機制之建構與修正 90
4.1 德爾菲法之驗證過程 90
4.1.1 德爾菲問卷專家的背景資料 91
4.1.2 德爾菲問卷回收比率 91
4.1.3 問卷設計與發放 92
4.2 一致性檢定 94
4.2.1 第一回合 95
4.2.2 第二回合 107
4.2.3 問卷結果之重要程度排序 108
4.3 雛形之修正成果 111
第五章 企業隱私權保護管理機制之個案實證 115
5.1 個案實證分析架構 115
5.2 個案公司產業背景 116
5.3 個案公司背景介紹 120
5.4 個案公司訪談內容 126
5.5 個案公司訪談重點彙整 135
5.6 本研究對於個案公司之建議事項 137
第六章 結論與建議 140
6.1 研究結果 140
6.2 研究貢獻 141
6.3 研究限制與後續研究建議 142
參考文獻 143
附錄一 第一回合德爾菲專家問卷 148
附錄二 第二回合德爾菲專家問卷 159
附錄三 個案研究準則 165

中文部分
日本資訊處理開發協會，2009，Privacy Mark System，隱私權標章推進中心。
江逸之，2010，你我都是受駭者，天下雜誌，454期，112-118。
行政院法務部，2005，電腦處理個人資料保護法修正草案總說明。
何星翰、呂敏誠，2010，由資訊安全管理之風險評鑑，協助企業營運永續，確保核心競爭力，品質月刊，46卷，7期，26-27。
吳政叡，2008，ISO 27001「資訊安全管理系統要求」在圖書館的應用，臺灣圖書館管理季刊，4卷，2期，89-99。
李順仁，2003，資訊安全，台北：文魁圖書。
李榮耕，2009，個人資料外洩及個資外洩通知條款的立法芻議，東吳法律學報，20卷，4期，251-291。
李震山，2004，電腦處理個人資料保護法之回顧與前瞻，國立中正大學法學集刊，14期，35-82。
李震山，2007，資訊權-兼論監視錄影器設置之法律問題，多元、寬容與人權保障-以憲法未列舉之保障為中心，台北：元照出版，193-260。
周逸濱，2008，行政機關個人資料保護法制之研究，台北大學法律學系碩士論文。
周慧蓮，2005，英國個人資料保護最新案例發展及其對我國法制之啟示，科技法律透析，17卷，1期，55。
拓墣產業研究所(2009)。2003-2010年全球半導體產值趨勢。擷取自http://www.ctimes.com.tw/News/ShowCols.asp?O=HJTBCC6U223SA-0MES
林玉山，2010，導入ISO 27001 ISMS資訊安全管理系統─以醫療院所核心資料庫安全性的策略和方法為例，電腦稽核，22期，90-102。
林東清，2008，資訊管理，台北：智勝書局。
花俊傑，2010，初探BS 10012個人資訊管理標準簡介，因應個資法修法，建立有效的個人資訊保護制度，網管人雜誌，51期。
邱祥榮，2001，美國網路個人資訊隱私保護型態轉變之初探，全國律師，5卷，12期，83。
范姜真媺，2009，他律與自律共構之個人資料保護法制-以日本有關民間法制為主，東吳法律學報，20卷，1期，163-200。
范肇鈞，2010，個人資料保護法的企業因應原則與BS 10012:2009國際標準，鼎新企業通電子報，130期。
徐國鈞，羅豐彬，郭建麟，2008，探討組織如何落實ISO 27001-以網路入侵衍生危安事件為例，2008年臺灣網際網路研討會論文集。
徐廣寅，2003，資訊安全管理導論，台北：金禾資訊。
耿筠，簡文慶，2006，網際網路時代資訊安全管理制度檢覈表之建立，政大智慧財產評論，4卷，1期，45-62。
莊庭端，2003，個人資料保護在台灣：誰的事務？，國家政策季刊，2卷1期，53-70。
郭戎晉，2008，日本「個人資料保護管理體系」與「隱私標章」制度之初探，科技法律透析，2-12。
郭戎晉，2010，企業如何因應新版個人資料保護法，2010資策會電子商務中高階主管研習會教材。
陳李綢，1991，個案研究，台北：心理出版。
章鈺，2010，從個人資料保護法看組織如何保護個人資料，BSI英國標準協會。
曾更瑩，2010，正視新個資法對企業之影響，貿易雜誌，232期，46-49。
萬幼筠，2010，學習英國個資保護標準從根本做好個資保護，iThome電腦報週刊，463期。
經濟部工業局半導體產業推動辦公室(2006)。台灣半導體產業結構。擷取自http://proj.moeaidb.gov.tw/sipo/
經濟部標準檢驗局，2006，國際標準組織標準發展策略研究報告(ISO)。
廖緯民，1996，論資訊時代的隱私權保護－以「資訊隱私權」為中心，資訊法務透析，8卷，11期，20-27。
蒲樹盛，2005，資訊安全管理系統(ISMS)ISO17799/BS7799國際認證體系與稽核驗證介紹，研考雙月刊，29卷，1期，91-104。
蒲樹盛，2010a，全球風險下的個人資訊保護方案BS 10012:2009個人資訊管理系統Personal Information Management System(PIMS)，品質月刊，46卷，6期，28-29。
蒲樹盛，2010b，創新科技環境下的資訊管理重點－雲端資訊安全、個資隱私保護、營運持續服務，品質月刊，46卷，6期，22-25。
劉文鈞，2006，論資訊安全，品質月刊，42卷，10期，66-70。
劉佐國，2005，我國個人資料隱私權益之保護是由－論“電腦處理個人資料保護法”之立法與修法過程，律師雜誌，307期，42-51。
劉萬正，2001，以DELPHI法探討合理工期之研究─以大型鐵路工程為例，國立交通大學，交通運輸研究所碩士論文。
劉靜怡，2001，網路上資訊隱私權保障問題之研究，二十一世紀，63期，17-27。
蔡宜秀，2009，警方：Yahoo奇摩與PChome成個資外洩幫兇，ZDnet新聞。
蔡重成，彭家亮，敖先義，2007，從企業營運的觀點探討ISO 27001資訊安全管理系統的產業價值，品質月刊，43卷，2期，67-70。
謝沛宏，2007，資安管理系統新版標準ISO/IEC 27001:2005－你準備好了嗎?，科技發展政策報導，4期，87-89。
謝惠玲，2007，資訊安全機制規劃及建置之現況調查與分析-以國內大學校園系統為例，靜宜大學資訊管理學系碩士論文。
顏榮泉，馬得翔，呂崇富，鄭懿讚，網路概論，2007。
譚泉清，2010，由“個資法”引申企業對資訊安全之認知，品質月刊，46卷，7期，30-33。

英文部分
Al Fedaghi, S., 2010, Information Privacy and its Value, Intelligent Information Privacy Management Symposium.
Avizienis, A. et al., 2004, Basic Concepts and Taxonomy of Dependable and Secure Computing, IEEE Transactions on Dependable and Secure Computing, Vol.1, No.1, 11~33, IEEE.
BS 10012:2009, 2009, Data protection. Specification for a personal information management system, British Standards Institute.
Buckley J. W., Buckley M. H., Chiang H. F., 1976, Research methodology and business decision, The Society of Management Accountants of Canada.
Dalkey, N. and Helmer, O., 1963, Delphi Technique: characteristics and sequence model to the use of experts, Management Science, 9(3), 458-467.
Data Protection Act, 1998.
Davis, F. D. 1989. ”Perceived usefulness, perceived ease of use, and user acceptance of information technology”, MIS Quarterly, 14, p319-p340.
Davis, F.D. 1986. ”A technology acceptance model for empirically testing new end-user information system: theory and results”, Ph.D. dissertation, MIT Sloan School of management
Delbecq, A.L., Van de Ven, A.H., and Gustafson, D.H., 1975, Group Techniques for Program Planning: A Guide to Nominal and Delphi Processes, Scott, Foresman and Co., IL.
Eisenhardt, K. M., 1989, Building theories from case study research, Academy of Management Review, 14(4): 532-550.
Fischer, R. J. and Green G., 2002, Introduction to Security.
Fischer-Hübner, S., 2000, Privacy and Security at Risk in the Global Information Society in Thomas, D. and Loader, B.D. ed., Cybercrime, Routledge.
Forte, D. V., 2008, Security for safety in railways, Network Security, 17-19.
Fowles, J, 1978, Handbook of futures research, Greenwood Press: Connecticut.
Gall, M. D., Borg, W. R. and Gall, J. P., 1996, Education research: An introduction , 6th ed, New York: Longman.
Hanafin S., 2004, Review of Literature on the Delphi Technique, [online] available http://www.nco.ie/upload_documents/Delphi_Technique_A_Literature_Review.pdf
Herriott, R.E. and Firestine, W.A., 1983, Multisite qualitative policy research: optimizing description and generalizability, Educational Researcher, 12: 14-19.
Holden, M.C. and Wedman, J.F., 1993, Future issues of computer-mediated communication: the results of a Delphi study, Educational Technology, Research and Development, 41(4), 5-24.
Holvast, J., 1993, Vulnerability and Privacy, North-Holland.
IBM, 1984, IBM Data Security Support Programs.
Icove, Seger, and VonStorch, 1995, Computer Crime – A Crimefighter’s Handbook, California, CA : O’Reilly & Associates.
ISO 27001: 2005, 2005, Information technology - Security techniques - Information security management systems – Requirements, International Organization for Standardization.
ISO 27002: 2005, 2005, Information technology - Security Techniques - Code of Practice for Information Security Management, International Organization for Standardization.
Keeney, S., Hasson, F., and McKeena, H.P., 2001, A critical review of the Delphi technique as a research methodology for nursing, International Journal of Nursing Studies, 38, 195-200.
Lawshe, C. H. 1975, “A Quantitative Approach to Content Validity”, Personnel Psychology, 28(4): 563-575.
Linstone, H.A. and Turoff, M., 1975, The Delphi Method: Techniques and Applications, Addison-Wesley Pub, Massachusetts.
Lloyd, I. J., 1998, A guide to the Data Protection Act 1998, Butterworths.
Ma, Q., Johnston, A. C., & Pearson, J. M., 2008, Information security management objectives and practices: a parsimonious framework. Information Management & Computer Security, 16, 3, 251-270.
McKenna, H.P., 1994, The Delphi technique: a worthwhile approach for nursing?, Journal of Advanced Nursing, 19, (1994), 1221-1225.
Morris M.G. and A. Dillon. 1997. ”How User Perceptions Influence Software Use” IEEE Software, Vol. 144, p58-p65
Murry, J.W. and Hammons, J.O., 1995, Delphi: A versatile methodology for conducting qualitative research, The Review of Higher Education, 18(4), 423-436.
Novak, J. D. and Gowin, D.B., 1984, Learning how to Lear", Cambridge, England, Cambridge University Press.
Parker, D.B., 1997, Information Security in a Nutshell, Information Systems Security.
Pennanen, K., M. K. Paakki, et al., 2008, Consumers’ views on trust, risk, privacy and security in e-commerce: a qualitative analysis, Trust and New Technologies: Marketing and Management on the Internet and Mobile Media: 108.
Preble, J., 1983, Public sector use of the Delphi technique, Technological Forecasting and Social Change, 23, 75-88.
Privacy Act, 1974, 5 U.S.C. § 552.
Randall, R.C., Vrijhoef, M.M.A., and Wilson, N.H.F., 2002, Current trends in restorative dentistry in the UK: a Delphi approach, Journal of Dentistry, 30, 177-187.
Reidenberg, Joel R., 1999, Restoring Americans' Privacy in Electronic Commerce, 14 Berkeley Tech. L. J. 771.
Rosenberg, R.S., 1992, The Social Impact of Computers, Academic Press.
Semico Research(2009). Analysts identify five high-growth markets for ICs. Retrieved from http://www.eetimes.com/electronics-news/4085823/Analysts- identify-five-high -growth-markets-for-ICs
Shieh, W.L., 1990, Using the Delphi technique to determine the most important characteristics of effective teaching in Taiwan, A doctor dissertation, University of CinCinnati.
Simson,G. and Gene,S., 1991, Practical UNIX Security, O’Reilly & Associates, Inc.
Szajna B. 1996. ”Empirical evaluation of the revised technology acceptance model” Management Science, 42(1), p85-p92
Van Horn R.L., 1973, Empirical studies on M.I.S., Wharton Conference on Research on Computers in Organization.
Venkatesh, V. and F.D. Davis. 1996. ”A model of the antecedents of perceived ease of use: Development and Test” Decision Sciences, p451-p481
Warren Samuel D. & Brandies Louis D., 1890, The Right to Privacy, 4 Harv.L.Rev.No5, 195.
Yang, Y.C., 2009, JIS Q 15001, Journal of Economic Sciences, 79-92。
Yin, R. K., 1994, Case Study Research: Design and Methods, Sage, London, CA, 2nd Ed.