從人體生物資料庫看ISO 27701 隱私資訊管理系統 | 社團法人台灣人體生物資料庫學會
作者:張中科 博士   人體生物資料庫(簡稱生物資
http://biobanksociety.tw/news/%e5%be%9e%e4%ba%ba%e9%ab%94%e7%94%9f%e7%89%a9%e8%b3%87%e6%96%99%e5%ba%ab%e7%9c%8biso-27701-%e9%9a%b1%e7%a7%81%e8%b3%87%e8%a8%8a%e7%ae%a1%e7%90%86%e7%b3%bb%e7%b5%b1/
article
社團法人台灣人體生物資料庫學會
http://biobanksociety.tw/main/wp-content/uploads/2018/12/FB-share-e1544149490151.jpg
Loading...

從人體生物資料庫看ISO 27701 隱私資訊管理系統

從人體生物資料庫看ISO 27701 隱私資訊管理系統
學術報導

作者:張中科 博士

 

人體生物資料庫(簡稱生物資料庫)堪稱現代生物醫學研究上,最重要的基礎建設之一。世界各國紛紛成立生物資料庫,其作用不僅體現在提升學術研究品質上,也往往成為國家生技產業戰略的一環。而生物資料庫的價值,圍繞在生物檢體與生醫大數據(big data)的持續蒐集與合理利用之上;為了達成這些目的,生物資料庫需要保存可追朔的個人資料(簡稱「個資」),作為串連持續蒐集的檢體與數據的依據。因此,「人體生物資料庫管理條例」第三條即定義生物資料庫「… 其生物檢體、衍生物或相關資料、資訊為後續運用之需要,以非去連結方式保存之資料庫。」

然而生物資料庫作為一個大量個資的保管者,自然容易衍生各種針對個資保護與隱私權的爭議。除了常見的敏感性個資如姓名、聯絡方式等等,許多生物資料庫還蒐集諸如身體檢測數值、醫療資訊、基因資訊等「特種個資」[1]。因此,對於這些個人資訊的保護作為,就成為重要的課題。而這些作為的目的,不僅僅在於「合法合規」,同時需要顧及各個關注方(生物資料庫參與者、工作人員、主管機關、一般民眾等)的期待與需求,並且必須能夠有效的達成「保護隱私」的目標。此時一個人體生物資料庫的設置機構,所需要的就是一套行之有效的「隱私資訊管理系統」(privacy information management system,PIMS)。

何謂「管理系統」?簡言之,管理系統是一個組織確保它可以完成各項工作,以達成組織目標的政策、流程、程序的總稱[2]。而「隱私資訊管理系統」的管理目標,就是讓組織可以在符合關注方的期待下,兼顧隱私的安全與個資的合理利用。當然要從頭開始設置一套管理系統並非易事,因此很多組織借重各種國內、外「標準」(standard)的要求,來打造自己的隱私資訊管理系統。目前較為業界熟知的標準,有英國的 BS 10012、美國的 NIST SP800-53 與國際標準組織(International Organization for Standardization,ISO)的 ISO 27701。其中 ISO 27701 於 2019 年制定,是上述各項標準中最晚制定的,但也是近來在台灣最「夯」的隱私管理標準。近年來如台北市警察局[3]、台灣大哥大[4]等公、私機構,都逐漸取得 ISO 27701 證照,以展現他們對隱私保護的重視。

筆者所在的臺灣人體生物資料庫,其隱私資訊管理系統最早於 2015 取得英國 BS 10012 證照,而後為了統一資料庫下各項驗證的架構,逐漸轉向 ISO 標準,並於 2021 年取得 ISO 27701證照。本次即以臺灣人體生物資料庫的經驗,對 ISO 27701 提供簡略的介紹。

 

ISO 27701 簡介

 

ISO 在 2011 年就訂定了 ISO 29100「隱私框架」的標準,早期也有不少機構取得 ISO 29100 證照,以因應對隱私保護的需求。臺灣人體生物資料庫於 2018年,即取得 ISO 29100 證照。在 ISO 體系上,ISO 29100 身為標準「框架」(framework),很適合建立隱私保護的整體概念與架構,然而對於建立一套完整的「管理系統」而言,卻缺乏實作指引。ISO 27701 於 2019 年訂定,是國內熟知的ISO 27001 資訊安全管理系統(information security management system,ISMS)的延伸,利用額外的實作指引,將「資訊安全」的管理,延伸到隱私個人資料上。ISO 27001 對於保障資訊的「機密性」(confidentiality)、「正確性」(integrity)與「可用性」(availability)有著諸多的要求,但是對於「法遵性」(legality)的要求則較為籠統。 ISO 27701則在加強前三項的要求之餘,還特別重視「法遵性」。因此在 ISO 的架構下,完整的隱私資料管理系統,應以 ISO 27001 加上 ISO 27701 的形式,來進行實作。

ISO 27701 承續著 ISO 29100 的精神,管理作為圍繞者「可辨識之個人資訊」(personally identifiable information,PII),尤其對PII 控制者(controller)與 PII 處理者(processor)這兩個角色,有特別多的著墨。眼尖的讀者會發現,這些名詞跟歐盟「通用資料保護規範」(General Data Protection Regulation,GDPR)當中的「資料控制者」(data controller)與「資料處理者」(data processor)有雷同之處。事實上,歐盟的資料保護委員會(European Data Protection Board,EDPB),也在ISO 27701 標準的制定上,出了不少力[5]。不過,稟承 ISO 的宗旨,ISO 27701 要做到無論組織大小或是其所在的區域均能適用,因此標準制定時,並非只參考歐洲的做法,也同時納入了其他國家與地區的建議。

雖然 ISO 27701 被視為 ISO 27001 的延伸,在界定驗證範圍上,還是有些許不同:ISO 27001 是以「資訊系統」為檢視單位,而 ISO 27701 則以「流程」為檢視單位,尤為重視隱私個資的流向與生命週期。所以單一「個資流程」橫跨數個資訊系統時,對該流程進行 ISO 27701 驗證之前,需要先取得所有相關資訊系統的 ISO 27001 驗證。以一般公司常見的的會計系統與採購系統為例,因為收付人資訊往往是共用的,因此在會計系統建檔時,會將收付人資訊同時傳送到採購系統。若要取得此流程的 ISO 27701 驗證,需要先取得會計系統與採購系統兩者的 ISO 27001 驗證。因此,ISO 27701 容易擴大 ISO 27001 所需驗證的範圍。這是容易理解的,終究個人資料在不同的資訊系統間流動之時,任何一個系統的資安疏失,都可能造成個人隱私的損害或洩露,導致當事人的損失。

 

生物資料庫取得 ISO 27701 驗證的好處

 

由於 ISO 27701 對 ISO 27001 的依存性,因此驗證時等於要同時滿足兩個標準,所耗費的人力、物力不可謂小。然而,由於「資通法」的推動,許多單位已經取得 ISO 27001的證照,在此基礎之上,ISO 27701 讓單位可以用一個相對熟悉的架構,深化對於隱私個資的保護,因此對於資源的要求,不見得如想像中來得大。對於一個生物資料庫而言,取得 ISO 27701 驗證,也有許多好處,分別簡述如下。

 

  • 展現對於隱私與個資保護的決心與作為

因為生物資料庫業務的特殊性與所蒐集資訊的敏感性,無論是被蒐集資訊的當事人、上級單位或是社會大眾,都對資料庫的個資保護有所期待。雖然已有「資通法」、「個資法」、「人體生物資料庫管理條例」等規範,但是缺乏實際的作法。而 ISO 27701與 ISO 27001 針對組織全景、人員要求、認知與訓練、稽核制度、軟硬體環境、文件紀錄等各方面,提供了明確的實作要求,讓單位能夠具體落實隱私與個資的保護。同時,國際標準本身就具有一定的權威性,取得 ISO 27701 證照也能夠提升外界對於生物資料庫處理個資時的信賴感。這對於生物資料庫的永續經營來講,是相當重要的,因為社會大眾的信賴程度,決定著人民的參與意願與往後對檢體與資訊利用的認同。

 

  • 完備內部的個資相關流程

ISO 27701 針對 ISO 29100 的十一項隱私原則,提供了實作上的指引。這十一項原則是:(一)同意和選擇、(二)目的的合法性和規範、(三)蒐集的限制、(四)數據最小化、(五)使用,保存和揭露限制、(六)正確性和品質、(七)公開性,透明度和告知、(八)個人參與和存取、(九)歸責性、(十)資訊安全、(十一)隱私遵循性。眼尖的人會發現,這些原則與我國「個資法」有許多呼應之處。如前所述,ISO 27701 特別重視「法遵性」,在第三方驗證之時,稽核人員也會特別注意單位的個資相關流程是否遵循國內各項法規的要求。而在生物資料庫進行各項實務的讀者,會進一步注意到,這十一項原則同時涵蓋了生物資料庫對個資的蒐集、處理、利用、儲存與銷毀等面向。由於第三方人員較無先入為主的觀念,因此往往容易找出這些流程當中,未被內部人員注意到的問題,提供改進的機會。

 

  • 可作為遵循GDPR的前期準備

雖然 GDPR 為歐盟的法規,然而其影響延伸到所有與歐盟有生意往來的國家。歐盟現為台灣第三大貿易夥伴(僅次於中國與美國)[6],也與我國有著多項的學研交流。我國「個資法」原預計於2020年進行修法,修法方向普遍認為會朝向取得GDPR適足性認定,以降低國內企業的營運成本[7]。同時,因為我國不禁止雙重國籍,所以在生物資料庫的收案端,是有可能不經意取得歐盟人的個人資料,而造成GDPR的適用。除此之外,未來若要與歐盟進行跨國的生物資料庫之間的合作,隱私與個資保護勢必成為重要的議題。由於以上原因,筆者認為生物資料庫應及早因應GDPR所造成的衝擊。事實上,GDPR第42條與第43條所描述的「驗證」(certification)與「驗證單位」(certification bodies)機制,與目前ISO的認證機制幾乎一樣,甚至在第43條第1項 b 款直接引述 ISO 17065標準對於國家級認證單位(national accreditation bodies)的定義。而ISO 27701 的附件 D(Annex D)提供了ISO 27701與GDPR條文之間的對照,可作為單位尋求GDPR遵循性的實作參考。雖然歐盟至今尚未明確定義隱私保護的驗證標準,就長遠來看,ISO 27701有很高的機會成為驗證標準之一。

 

結語

 

在個人隱私資料越來越受國內、外重視的當下,生物資料庫如何展現對這些隱私資料的保護,攸關著其永續經營的能力。當初由於「資通法」的大力推動,造成ISO 27001 幾乎成為所有機關必備的驗證標準。而現今「個資法」相關法規也面臨著修改,驗證方式應會遵照當初「資通法」的模式,利用各種驗證標準與第三方機構來確保各單位確實落實隱私與個人資料的保護。筆者認為,在此環境之下,ISO 27701 有相當大的機會繼 ISO 27001 之後,成為又一個「實質」的查核標準。以筆者的經驗,ISO 27701 也確實對於生物資料庫落實隱私與個資保護,有所助益,再加上其「國際標準」與「貼近GDPR」等光環,有助於國內的人體生物資料庫就隱私議題與國際接軌,為未來跨國合作鋪路。因此,取得 ISO 27701 的證照,不失為一個對生物資料庫的未來,有意義的投資。

[1] 個人資料保護法第六條。

[2] 翻譯自 https://en.wikipedia.org/wiki/Management_system

[3] https://tw.appledaily.com/local/20211227/BF4YD5C5SBAQPOSHZR7PMUPKKY/

[4] https://news.cnyes.com/news/id/4771424

[5] https://www.cnil.fr/en/iso-27701-international-standard-addressing-personal-data-protection

 

[6] https://www.trade.gov.tw/Files/PageFile/516673/我國對各洲地區貿易情形2022年4月.pdf

[7] https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8778

 

 

作者介紹:

 

張中科博士現任臺灣人體生物資料庫行政主管兼資安官,曾擔任過該資料庫國際組組長、專案稽核組組長與代理媒體公關組組長。張博士畢業於美國卡內基美隆大學生物科學系博士班(Dept. of Biological Sciences, Carnegie Mellon University),早期專攻蛋白質結構解析與生物物理,後來投身於代謝體學研究,目前也同時擔任臺灣人體生物資料庫代謝體學負責人。

作者:張中科 博士

 

人體生物資料庫(簡稱生物資料庫)堪稱現代生物醫學研究上,最重要的基礎建設之一。世界各國紛紛成立生物資料庫,其作用不僅體現在提升學術研究品質上,也往往成為國家生技產業戰略的一環。而生物資料庫的價值,圍繞在生物檢體與生醫大數據(big data)的持續蒐集與合理利用之上;為了達成這些目的,生物資料庫需要保存可追朔的個人資料(簡稱「個資」),作為串連持續蒐集的檢體與數據的依據。因此,「人體生物資料庫管理條例」第三條即定義生物資料庫「… 其生物檢體、衍生物或相關資料、資訊為後續運用之需要,以非去連結方式保存之資料庫。」

然而生物資料庫作為一個大量個資的保管者,自然容易衍生各種針對個資保護與隱私權的爭議。除了常見的敏感性個資如姓名、聯絡方式等等,許多生物資料庫還蒐集諸如身體檢測數值、醫療資訊、基因資訊等「特種個資」[1]。因此,對於這些個人資訊的保護作為,就成為重要的課題。而這些作為的目的,不僅僅在於「合法合規」,同時需要顧及各個關注方(生物資料庫參與者、工作人員、主管機關、一般民眾等)的期待與需求,並且必須能夠有效的達成「保護隱私」的目標。此時一個人體生物資料庫的設置機構,所需要的就是一套行之有效的「隱私資訊管理系統」(privacy information management system,PIMS)。

何謂「管理系統」?簡言之,管理系統是一個組織確保它可以完成各項工作,以達成組織目標的政策、流程、程序的總稱[2]。而「隱私資訊管理系統」的管理目標,就是讓組織可以在符合關注方的期待下,兼顧隱私的安全與個資的合理利用。當然要從頭開始設置一套管理系統並非易事,因此很多組織借重各種國內、外「標準」(standard)的要求,來打造自己的隱私資訊管理系統。目前較為業界熟知的標準,有英國的 BS 10012、美國的 NIST SP800-53 與國際標準組織(International Organization for Standardization,ISO)的 ISO 27701。其中 ISO 27701 於 2019 年制定,是上述各項標準中最晚制定的,但也是近來在台灣最「夯」的隱私管理標準。近年來如台北市警察局[3]、台灣大哥大[4]等公、私機構,都逐漸取得 ISO 27701 證照,以展現他們對隱私保護的重視。

筆者所在的臺灣人體生物資料庫,其隱私資訊管理系統最早於 2015 取得英國 BS 10012 證照,而後為了統一資料庫下各項驗證的架構,逐漸轉向 ISO 標準,並於 2021 年取得 ISO 27701證照。本次即以臺灣人體生物資料庫的經驗,對 ISO 27701 提供簡略的介紹。

 

ISO 27701 簡介

 

ISO 在 2011 年就訂定了 ISO 29100「隱私框架」的標準,早期也有不少機構取得 ISO 29100 證照,以因應對隱私保護的需求。臺灣人體生物資料庫於 2018年,即取得 ISO 29100 證照。在 ISO 體系上,ISO 29100 身為標準「框架」(framework),很適合建立隱私保護的整體概念與架構,然而對於建立一套完整的「管理系統」而言,卻缺乏實作指引。ISO 27701 於 2019 年訂定,是國內熟知的ISO 27001 資訊安全管理系統(information security management system,ISMS)的延伸,利用額外的實作指引,將「資訊安全」的管理,延伸到隱私個人資料上。ISO 27001 對於保障資訊的「機密性」(confidentiality)、「正確性」(integrity)與「可用性」(availability)有著諸多的要求,但是對於「法遵性」(legality)的要求則較為籠統。 ISO 27701則在加強前三項的要求之餘,還特別重視「法遵性」。因此在 ISO 的架構下,完整的隱私資料管理系統,應以 ISO 27001 加上 ISO 27701 的形式,來進行實作。

ISO 27701 承續著 ISO 29100 的精神,管理作為圍繞者「可辨識之個人資訊」(personally identifiable information,PII),尤其對PII 控制者(controller)與 PII 處理者(processor)這兩個角色,有特別多的著墨。眼尖的讀者會發現,這些名詞跟歐盟「通用資料保護規範」(General Data Protection Regulation,GDPR)當中的「資料控制者」(data controller)與「資料處理者」(data processor)有雷同之處。事實上,歐盟的資料保護委員會(European Data Protection Board,EDPB),也在ISO 27701 標準的制定上,出了不少力[5]。不過,稟承 ISO 的宗旨,ISO 27701 要做到無論組織大小或是其所在的區域均能適用,因此標準制定時,並非只參考歐洲的做法,也同時納入了其他國家與地區的建議。

雖然 ISO 27701 被視為 ISO 27001 的延伸,在界定驗證範圍上,還是有些許不同:ISO 27001 是以「資訊系統」為檢視單位,而 ISO 27701 則以「流程」為檢視單位,尤為重視隱私個資的流向與生命週期。所以單一「個資流程」橫跨數個資訊系統時,對該流程進行 ISO 27701 驗證之前,需要先取得所有相關資訊系統的 ISO 27001 驗證。以一般公司常見的的會計系統與採購系統為例,因為收付人資訊往往是共用的,因此在會計系統建檔時,會將收付人資訊同時傳送到採購系統。若要取得此流程的 ISO 27701 驗證,需要先取得會計系統與採購系統兩者的 ISO 27001 驗證。因此,ISO 27701 容易擴大 ISO 27001 所需驗證的範圍。這是容易理解的,終究個人資料在不同的資訊系統間流動之時,任何一個系統的資安疏失,都可能造成個人隱私的損害或洩露,導致當事人的損失。

 

生物資料庫取得 ISO 27701 驗證的好處

 

由於 ISO 27701 對 ISO 27001 的依存性,因此驗證時等於要同時滿足兩個標準,所耗費的人力、物力不可謂小。然而,由於「資通法」的推動,許多單位已經取得 ISO 27001的證照,在此基礎之上,ISO 27701 讓單位可以用一個相對熟悉的架構,深化對於隱私個資的保護,因此對於資源的要求,不見得如想像中來得大。對於一個生物資料庫而言,取得 ISO 27701 驗證,也有許多好處,分別簡述如下。

 

  • 展現對於隱私與個資保護的決心與作為

因為生物資料庫業務的特殊性與所蒐集資訊的敏感性,無論是被蒐集資訊的當事人、上級單位或是社會大眾,都對資料庫的個資保護有所期待。雖然已有「資通法」、「個資法」、「人體生物資料庫管理條例」等規範,但是缺乏實際的作法。而 ISO 27701與 ISO 27001 針對組織全景、人員要求、認知與訓練、稽核制度、軟硬體環境、文件紀錄等各方面,提供了明確的實作要求,讓單位能夠具體落實隱私與個資的保護。同時,國際標準本身就具有一定的權威性,取得 ISO 27701 證照也能夠提升外界對於生物資料庫處理個資時的信賴感。這對於生物資料庫的永續經營來講,是相當重要的,因為社會大眾的信賴程度,決定著人民的參與意願與往後對檢體與資訊利用的認同。

 

  • 完備內部的個資相關流程

ISO 27701 針對 ISO 29100 的十一項隱私原則,提供了實作上的指引。這十一項原則是:(一)同意和選擇、(二)目的的合法性和規範、(三)蒐集的限制、(四)數據最小化、(五)使用,保存和揭露限制、(六)正確性和品質、(七)公開性,透明度和告知、(八)個人參與和存取、(九)歸責性、(十)資訊安全、(十一)隱私遵循性。眼尖的人會發現,這些原則與我國「個資法」有許多呼應之處。如前所述,ISO 27701 特別重視「法遵性」,在第三方驗證之時,稽核人員也會特別注意單位的個資相關流程是否遵循國內各項法規的要求。而在生物資料庫進行各項實務的讀者,會進一步注意到,這十一項原則同時涵蓋了生物資料庫對個資的蒐集、處理、利用、儲存與銷毀等面向。由於第三方人員較無先入為主的觀念,因此往往容易找出這些流程當中,未被內部人員注意到的問題,提供改進的機會。

 

  • 可作為遵循GDPR的前期準備

雖然 GDPR 為歐盟的法規,然而其影響延伸到所有與歐盟有生意往來的國家。歐盟現為台灣第三大貿易夥伴(僅次於中國與美國)[6],也與我國有著多項的學研交流。我國「個資法」原預計於2020年進行修法,修法方向普遍認為會朝向取得GDPR適足性認定,以降低國內企業的營運成本[7]。同時,因為我國不禁止雙重國籍,所以在生物資料庫的收案端,是有可能不經意取得歐盟人的個人資料,而造成GDPR的適用。除此之外,未來若要與歐盟進行跨國的生物資料庫之間的合作,隱私與個資保護勢必成為重要的議題。由於以上原因,筆者認為生物資料庫應及早因應GDPR所造成的衝擊。事實上,GDPR第42條與第43條所描述的「驗證」(certification)與「驗證單位」(certification bodies)機制,與目前ISO的認證機制幾乎一樣,甚至在第43條第1項 b 款直接引述 ISO 17065標準對於國家級認證單位(national accreditation bodies)的定義。而ISO 27701 的附件 D(Annex D)提供了ISO 27701與GDPR條文之間的對照,可作為單位尋求GDPR遵循性的實作參考。雖然歐盟至今尚未明確定義隱私保護的驗證標準,就長遠來看,ISO 27701有很高的機會成為驗證標準之一。

 

結語

 

在個人隱私資料越來越受國內、外重視的當下,生物資料庫如何展現對這些隱私資料的保護,攸關著其永續經營的能力。當初由於「資通法」的大力推動,造成ISO 27001 幾乎成為所有機關必備的驗證標準。而現今「個資法」相關法規也面臨著修改,驗證方式應會遵照當初「資通法」的模式,利用各種驗證標準與第三方機構來確保各單位確實落實隱私與個人資料的保護。筆者認為,在此環境之下,ISO 27701 有相當大的機會繼 ISO 27001 之後,成為又一個「實質」的查核標準。以筆者的經驗,ISO 27701 也確實對於生物資料庫落實隱私與個資保護,有所助益,再加上其「國際標準」與「貼近GDPR」等光環,有助於國內的人體生物資料庫就隱私議題與國際接軌,為未來跨國合作鋪路。因此,取得 ISO 27701 的證照,不失為一個對生物資料庫的未來,有意義的投資。

[1] 個人資料保護法第六條。

[2] 翻譯自 https://en.wikipedia.org/wiki/Management_system

[3] https://tw.appledaily.com/local/20211227/BF4YD5C5SBAQPOSHZR7PMUPKKY/

[4] https://news.cnyes.com/news/id/4771424

[5] https://www.cnil.fr/en/iso-27701-international-standard-addressing-personal-data-protection

 

[6] https://www.trade.gov.tw/Files/PageFile/516673/我國對各洲地區貿易情形2022年4月.pdf

[7] https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8778

 

 

作者介紹:

 

張中科博士現任臺灣人體生物資料庫行政主管兼資安官,曾擔任過該資料庫國際組組長、專案稽核組組長與代理媒體公關組組長。張博士畢業於美國卡內基美隆大學生物科學系博士班(Dept. of Biological Sciences, Carnegie Mellon University),早期專攻蛋白質結構解析與生物物理,後來投身於代謝體學研究,目前也同時擔任臺灣人體生物資料庫代謝體學負責人。