台灣刑事警察局2009年165反詐騙專線統計指出，網路購物個人資料(或簡稱個資)外洩詐騙事件排名第一，佔全部詐騙數35%，顯示個資外洩情形嚴重。在個人資料保護法三讀通過後，組織一旦違法使用個資，將面臨高價求償金、刑責等問題，組織可能需開始著手規劃並實施針對個人資料的相關保護工作，降低個資法帶來的衝擊。
本研究以問卷調查方式，分析各組織個人資料保護現況。發現商譽受損是最多組織擔憂若不慎洩漏個資時的衝擊，但中小企業與非營利事業對於須自行舉證組織並無故意或過失洩漏個資的困擾更甚於商譽受損。本研究以BS 10012為基礎之「規劃」、「實行與運作」、「監督與審查」、「改善」等四構面，評估組織的個人資訊管理制度(Personal Information Management System, PIMS)狀況，提供十種組織可優先加強構面之建議，如資訊服務業、金融業等組織在「規劃」構面、政府部門等在「實行與運作」構面、非營利組織等在「監督與審查」構面與電信業等在「改善」構面，建議強化個人資訊管理制度上的不足，使組織降低個資法將帶來的衝擊。

In 2009, the Criminal Investigation Bureau 165 anti-fraud hotline statistics indicated that internet shopping frauds due to leakage of personal information were ranked first, accounting for 35% of frauds. This indicates that personal information leakage is a serious problem.  After third reading of the Personal Information Protection Act passed, if an organization uses personal information illegally, it will face high claims payments, criminal liability and other issues. To reduce the impact from the Personal Information Protection Act, organizations may need to begin to plan and implement relevant measures for the protection of personal information.
This study used the a questionnaire survey to analyze the status of personal information protection in organizations. Goodwill impairment is found in most organizations which are concerned about the impact of accidental personal information leakage. However small and medium-sized enterprises and non-profit organizations are concerned about being required to prove that they have no intention or negligence related to personal information leakage problems than organization goodwill impairment. We assess an organizational personal information management system based on the four phases of BS 10012, “Plan", "Do", "Check", "Act”. Through this analysis, we provide   priority strengthen phase advices for 10 organizations, For instance, the   “information services industry” and “financial services industry” are in the "plan" phase, “government departments” are in the "Do" phase, “non-profit organizations” are in the "Check" phase, and the “telecommunications industry” is in the "Act" phase. Strengthening personal information management system will enable organizations to reduce the impact of the Personal Information Protection Act.

目錄
中文摘要	I
英文摘要	II
目錄	III
表目錄	V
圖目錄	VII
第一章 緒論	1
1.1　 研究背景與動機	1
1.2	研究目的	2
1.3	研究對象與限制	3
1.4	論文架構	3
第二章 文獻探討	4
2.1   個人資料保護法	4
2.2	個人資訊管理制度	5
2.3	BS 10012:2009 標準	7
第三章 研究設計	8
3.1  研究方法	8
3.2　問卷設計	8
3.3  問卷發放過程描述	9
3.4	統計分析方法與工具	10
第四章 資料分析	11
4.1   問卷回收率分析	11
4.2	受訪者基本資料分析及交叉分析	11
4.3	問卷效度與信度分析	23
4.4	組織PIMS現況分析	24
4.5	 基本資料與四個構面差異分析	30
4.5.1 組織是否通過ISO 27001差異分析	30
4.5.2 受訪者職位差異分析	32
4.6	比較各組織與整體落差分析	33
4.7   研究發現	38
第五章 結論與建議	43
5.1   結論	43
5.2	建議	48
參考文獻	49
中文部分	49
英文部分	50
附錄1 - 本研究問卷	53
附錄2 - BS 10012 PDCA四構面問項因素分析詳細數值	57
附錄3 – 通過ISO 27001與問項差異分析ANOVA表	66
附錄4 – 職位與問項差異分析ANOVA表	70

 
表目錄
表3-1：問卷涵蓋構面	9
表4-1：受訪者組織類別統計表	12
表4-2：受訪者職位統計表	13
表4-3：受訪者組織資本額統計表	13
表4-4：組織類別與資本額交叉表	14
表4-5：受訪者組織資訊部門人數統計表	14
表4-6：組織類別與資訊部門人數交叉表	15
表4-7：受訪者組織成立幾年統計表	16
表4-8：組織類別與成立幾年交叉表	16
表4-9：受訪者組織通過ISO 27001統計表	17
表4-10：組織類別與通過ISO 27001交叉表	18
表4-11：受訪者了解PIMS統計表	19
表4-12：組織類別與了解PIMS交叉表	19
表4-13：組織個資外洩面臨最大衝擊統計表	20
表4-14：個資外洩衝擊與資本額交叉表	20
表4-15：組織加強防止個資外洩方式統計表	21
表4-16：加強防止個資外洩與資本額交叉表	21
表4-17：組織因應個資法預計經費統計表	22
表4-18：組織因應措施使流程變繁雜統計表	22
表4-19：組織是否舉辦員工的訓練或說明會統計表	23
表4-20：四個構面的信度分析表	24
表4-21：整體組織PIMS現況列表	24
表4-22：規劃構面問項統計表	27
表4-23：實行與運作構面問項統計表	28
表4-24：監督與審查構面問項統計表	29
表4-25：改善構面問項統計表	29
表4-26：與「通過ISO 27001」無顯著差異問項	32
表4-27：各組織「規劃」構面統計表	34
表4-28：各組織「實行與運作」構面統計表	34
表4-29：各組織「監督與稽核」構面統計表	36
表4-30：各組織「改善」構面統計表	37
表5-1：對各組織PIMS優先加強構面之建議表	45
 
圖目錄
圖2-1：個人資訊管理制度、BS 10012、ISO 27001、個人資料保護法等四者之關聯圖	6

中文部分
[1]	中華民國國家資訊基本建設產業發展協進會，〈2007台灣網路安全信心調查〉，網址：http://als.org.tw/article/new_paper_sg.asp?id=168，上網日期：2010年12月3日。
[2]	台灣綜合研究院，〈中小企業定義〉，網址：http://www.tri.org.tw/ceo/，上網日期：2010年12月10日。
[3]	行政院金管會，〈玉山銀行網路銀行資訊安全管理缺失處分案〉，網址：http://www.banking. gov.tw/Layout/main_ch/News_NewsContent.aspx?NewsID=41372，上網日期：2010年12月3日。
[4]	行政院法務部，〈個人資料保護法〉，網址：http://law.moj.gov.tw/LawClass/LawContent.aspx?pcode=I0050021，上網日期：2010年10月9日。
[5]	行政院法務部，〈電腦處理個人資料保護法〉，網址：http://law.moj.gov.tw/LawClass/LawOldVer_Vaild.aspx?PCODE=I0050021，上網日期：2010年12月3日。
[6]	李振瑋、江耀國，〈英國資料保護法中資料所有人權力之研究─兼論我國個資法之相關規範及案例〉，中原財經法學報，第二十四期，頁29-84，2010年6月。
[7]	翁清坤，〈論個人資料保護標準之全球化〉，東吳法律學報，第二十二期，頁1-60，2010年7月。
[8]	郭戎晉，〈國際個人資料保護制度鳥瞰〉，網址：http://gcis.nat.gov.tw/ec/knowledge/notes/doc_download.asp?DocID=1137，上網日期：2010年3月9日。
[9]	張毓仁，〈新版個資法之影響與商機〉，網址：http://mic.iii.org.tw/aisp/reports/reportdetail2.asp?sesd=685865671&docid=CDOC20100601006&doctype=RC&cate=&smode=1&countrypno，上網日期：2010年12月3日。
[10]	曾淑惠，《以BS 7799為基礎評估銀行業資訊安全環境》，碩士論文，淡江大學資訊管理學系，2002。
[11]	蒲樹盛，〈創新科技環境下的資訊管理重點雲端資訊安全、個資隱私保護、營運持續服務〉，中華民國品質學會月刊，第46卷，第7期，頁22-25，2010年7月。
英文部分
[12]	Alston & Bird LLP, “Japan’s Personal Information Protection Act and its Key Guidelines to be Revised,” Asia-Pacific E-Commerce & Privacy Forum Policy Advisory, Atlanta, USA, October 2006.
[13]	APEC, APEC Privacy Framework. http://www.ag.gov.au/www/agd/rwpattach.nsf/VAP/(03995EABC73F94816C2AF4AA2645824B)~APEC+Privacy+Framework.pdf/$file/APEC+Privacy+Framework.pdf, accessed 2011/1/14.
[14]	BS 10012, Data Protection - Specification for a Personal Information Management System, British Standards Institution, 2009.
[15]	BSI Group, Data Dilemma: One in Five Businesses Admit Breaching the Data Protection Act. http://www.bsigroup.com/About-BSI/ News-Room/BSI-News-Content/Disciplines/Information-Management/BS-10012-publication/, accessed 2011/1/14.
[16]	ICO, The Principles of the Data Protection Act in Detail. http://www.ico.gov.uk/upload/documents/library/data_protection/practical_application/the_guide_to_data_protection.pdf, accessed 2011/2/6.
[17]	ISO/IEC 27001, Information Technology – Security Techniques – Information Security Management Systems – Requirements, 2005.
[18]	JISC, Requirements for Compliance Program on Personal Information Protection JIS Q 15001:1999. http://www.medis.or.jp/iso/wg4doclist/WG4-N116(jisq15001.en).pdf, accessed 2011/3/26.
[19]	Jones, W., “Personal Information Management,” Annual Review of Information Science and Technology, Vol. 41, Issue 1, pp. 453-504, 2007.
[20]	Korba, L., “Privacy in Distributed Electronic Commerce,” Proceedings of the 35th Hawaii International Conference on System Science, Hawaii, USA, pp. 306-315, January 2002.
[21]	Lusoli, W. & Compano, R., “From Security Versus Privacy to Identity: an Emerging Concept for Policy Design?,” Info, Vol. 12, pp. 80-94, Emerald Group Publishing Limited, September 2010.
[22]	OECD, OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. http://www.oecd.org/document/18/0,3746,en_2649_34255_1815186_1_1_1_1,00.html, accessed 2011/1/14.
[23]	Raman, J., “European Court of Human Rights: Failure to Take Effective Information Security Measures to Protect Sensitive Personal Data Violates Right to Privacy,” Computer Law & Security Report, Vol. 24, Issue 6, pp. 562-564, July 2008.
[24]	Wiki, PDCA. http://en.wikipedia.org/wiki/PDCA, accessed 2010/12/23.