個資及資安

保障參與者的隱私，是臺灣人體生物資料庫的基本價值之一。因此，我們除了依靠國內法規與倫理監理機制等方式，保障參與者的權益，更借重公正的第三方驗證，保障資料庫對於個人隱私資料的管理，能夠達到國際水準。臺灣人體生物資料庫於 2015 年即已取得英國最老的認證公司 BSI 的個人資料管理系統認證（BS 10012:2009）。爾後，臺灣人體生物資料庫的認證體系，隨著世界潮流逐漸轉往國際標準（ISO），並於 2019 年獲得具有 150 年歷史的德國 TUV NORD 授證頒發個人隱私保護管理證書（ISO 29100:2011），成為全臺第一家取得此認證之人體生物資料庫。

隨著歐盟的「一般資訊保護法案」（General Data Protection Regulation, GDPR）開始施行，全球的個資保護意識抬頭，人民要求更有效的隱私與個資保護，因此新的 ISO/IEC 27701:2019 個資管理系統標準被提出並逐漸成為主流。臺灣人體生物資料庫已開始進行相關作業，並預計於 2021 年底完成 ISO/IEC 27701:2019 新標準的第三方認證，以提升本資料庫的個資保護水準。

 

隱私與個資的保護，必須建立在資訊安全的管理之上。而「資安即國安」，因此臺灣人體生物資料庫對於資訊安全的保護，不遺餘力：我們於 2016 年即通過國際 ISO/IEC 27001:2013 資安管理系統的認證，近年來臺灣人體生物資料庫更秉持著「精益求精」的精神，致力於 ISO/IEC 27001:2013 管理文件的規整、資通設備的汰舊換新、人員的訓練，以提升管理效率與資訊安全的落實。在每三年的重新驗證中，均獲得第三方驗證公司的高度肯定，並於 2023 年通過 ISO/IEC 27001:2022 年度複評合格，持續維持證書有效性。

個資與資安的管理，離不開「人」的因素，而對於認證標準的認知，是良好管理的基礎。臺灣人體生物資料庫每年均安排人員輪流參加 ISO 29100:2011 與 ISO/IEC 27001:2013 的領導稽核員教育訓練，以加深對於標準的認識，同時凝聚個資與資安保護的共識。