根據趨勢科技於「2010上半年全球資安威脅報告」中指出，教育界在上半年所感染的惡意程式數量最多，幾乎有50%的感染出現於學校和大專院校，對擁有大量個人資料的學校而言，不僅會使校內個人資料外洩，造成校譽受損，更影響學校永續發展。因此本研究以「BS 10012：2009個人資訊管理制度」（Personal Information Management System, PIMS）之「規劃」、「實行與運作」、「監督與審查」、「改善」四構面為基礎，了解目前大專校院的個人資訊管理制度，並提出改善建議。
    研究發現若個人資料不慎外洩，64.6%的電算中心管理層認為校譽受損衝擊最大，56.9%考慮再加強內部稽核。而目前大專校院的個人資訊管理制度，多處於BS 10012的「規劃」和「實行與運作」構面，對於「監督與審查」和「改善」構面較缺乏控管。若依地區劃分比較，各區域的學校於四個構面無顯著的差異，僅北區學校在職員的教育訓練表現較佳；若依電算中心專任職員人數規模劃分，10人以上的學校發展較佳。最後，本研究針對大專校院在個人資訊管理制度發展中較落後的「監督與審查」和「改善」構面，提出加強建議，降低個資法所帶來的衝擊。

Trend Micro in the " Global Threat Trends, 1H 2010" pointed out that when it comes to malware infections by industry sector, the education took the lead during the first half of 2010. Almost 50 percent of all malware infections occurred within schools and colleges which hold a large amount of personal data. Malware not only leaks personal data and damages school reputation, but also affects the sustainable development of school. Therefore, this study investigated the present college personal information management system based on “Plan", "Do", "Check", "Act”, four phases of "BS 10012：2009 －personal information management system, PIMS", and presents recommendations for improvement. 
     The study found that 64.6% of managers working at computer centers, considered college reputation damage the most serious impact in the case of personal information leaking; thus, most of them also considered strengthening internal audit to avoid this from happening. At present, the major developmental progress in college personal information management system is at the “Plan” and “Do” phase, and a lack of control for “Check” and “Act”. This study researched whether regional differences and scale of computer center would affect personal information management system among colleges. In terms of regional comparison, there is no significant difference in PDCA phrases, except that the staff information security training performed better in the northern colleges. In terms of performance difference due to number of staff, it was found that colleges with more than 10 employees were better developed. Finally, the study presents recommendations for the colleges with “Check” and “Act” phase in personal information management system.

目錄
本文目錄	Ⅲ
圖目錄	Ⅵ
表目錄	Ⅶ
第一章 緒論	1
1.1	研究背景與動機	1
1.2	研究目的	2
1.3	研究對象	2
1.4	論文架構	3
第二章 文獻探討	4
2.1	個人資料保護法	4
2.1.1	立法背景	4
2.1.2	修正要點	5
2.2	個人資訊管理制度	7
2.3	BS 10012：2009個人資訊管理制度	8
2.3.1	背景介紹	8
2.3.2	內容介紹	8
第三章 研究設計	10
3.1	研究方法	10
3.2	問卷設計	10
3.3	統計分析方法與工具	11
3.4	問卷調查過程	11
第四章 研究分析	12
4.1	問卷回收率分析	12
4.2	受訪者基本資料分析與交叉分析	12
4.3	問卷效度分析	23
4.4	問卷信度分析	23
4.5	大專校院個人資訊管理制度現況分析	24
4.6	大專校院所在區域與四個構面差異分析	31
4.7	大專校院電算中心專任職員人數規模與四個構面差異分析	32
4.8	研究發現	41
第五章 結論與建議	48
5.1	結論	48
5.2	建議	52
致謝	53
參考文獻	54
中文部分	54
英文部分	56
附錄一、研究問卷	58
附錄二、研究問卷之因素分析數值表	62


圖目錄
圖2-1：個人資訊管理制度、BS 10012、ISO 27001、個資法等四者關聯圖	7


表目錄
表3-1：各章節之問項數	10
表4-1：受訪者職位統計表	13
表4-2：電算中心專任職員人數統計表	13
表4-3：電算中心成立年數統計表	13
表4-4：通過第三方資安驗證統計表	14
表4-5：個人資訊管理制度了解程度統計表	15
表4-6：個人資料外洩對學校的衝擊統計表	16
表4-7：受訪者職位與個人資料外洩對學校的衝擊交叉表	16
表4-8：防止個人資料外洩方式統計表	16
表4-9：電算中心專任職員人數與防止個人資料外洩方式交叉表	17
表4-10：預計所需經費統計表	19
表4-11：預計所需經費與防止個人資料外洩方式交叉表	19
表4-12：學校因應個資法使校務程序變得繁雜統計表	20
表4-13：職員教育訓練統計表	20
表4-14：職員教育訓練與個人資訊管理制度了解程度交叉表	20
表4-15：學校所在區域統計表	22
表4-16：學校所在區域與職員教育訓練交叉表	22
表4-17：學校所在區域與個人資訊管理制度了解程度交叉表	22
表4-18：問卷信度表	24
表4-19：個人資訊管理制度整體現況統計表	25
表4-20：規劃構面問項統計表	27
表4-21：實行與運作構面問項統計表	29
表4-22：監督與審查構面問項統計表	30
表4-23：改善構面問項統計表	31
表4-24：電算中心專任職員人數規模與「規劃」構面的ANOVA表	34
表4-25：電算中心專任職員人數與所需經費交叉表	34
表4-26：電算中心專任職員人數規模與「實行與運作」構面的ANOVA表	38
表4-27：電算中心專任職員人數與通過第三方資安驗證交叉表	38
表4-28：電算中心專任職員人數規模與職員教育訓練交叉表	39
表4-29：電算中心專任職員人數規模與「監督與審查」構面的ANOVA表	40
表4-30：電算中心專任職員人數規模與「改善」構面的ANOVA表	41
表5-1：電算中心專任職員人數在10人以上的加強建議	51
表5-2：電算中心專任職員人數在10人以下的加強建議	52

[1]	元智大學，〈99學年度大專校院電算中心主任研討會〉，網址：http://ccds2010.yzu.edu.tw/index.php?page=info，上網日期：2010年12月4日。
[2]	行政院法務部，〈個人資料保護法〉，網址：http://law.moj.gov.tw/LawClass/LawContent.aspx?pcode=I0050021，上網日期： 2010年10月7日。
[3]	行政院法務部，〈電腦處理個人資料保護法〉，網址：http://law.moj.gov.tw/LawClass/LawOldVer_Vaild.aspx?PCODE=I0050021，上網日期：2010年12月4日。
[4]	行政院法務部，〈私立學校及學術研究機構電腦處理個人資料管理辦法〉，網址：http://law.moj.gov.tw/LawClass/LawAll.aspx?Pcode=I0050024，上網日期：2010年11月14日。
[5]	林家輝，《我國中小學階段學生個人資料保護之研究》，碩士論文，臺灣師範大學政治學學系，2009年。
[6]	吳統雄，《電話調查：理論與方法》，第二版，台北縣：聯經出版社，ISBN:957-080-244-8，1990。
[7]	胡雯雯，《臺、日、英、德企業教育訓練制度與組織績效關係之比較研究》，碩士論文，中央大學人力資源管理學系，2002。
[8]	教育部電子計算機中心，〈教育體系資通安全管理規範〉，網址：http://www.edu.tw/moecc/content.aspx?site_content_sn=5194，上網日期：2010年12月10日。
[9]	郭戎晉，〈日本「個人資料保護管理體系」與「隱私標章」制度之初探〉，資訊法務透析，第20卷，第12期，頁2-12，ISSN：1608-9499，2008年12月。
[10]	郭戎晉，〈國際個人資料保護制度鳥瞰〉，網址：http://gcis.nat.gov.tw/ec/knowledge/notes/doc_download.asp?DocID=1137，上網日期：2011年3月19日。
[11]	黃彥棻，〈因應個資法，可以先做的8件事〉，網址：http://www.ithome.com.tw/itadm/article.php?c=65133，上網日期：2010年12月16日。
[12]	曾淑惠，《以BS 7799為基礎評估銀行業資訊安全環境》，碩士論文，淡江大學資訊管理研究所，2002。 
[13]	蒲樹盛，〈創新科技環境下的資訊管理重點雲端資訊安全、個資隱私保護、營運持續服務〉，中華民國品質學會月刊，第46卷，第7期，頁22-25，ISSN：1017-3692，2010年7月。
[14]	趨勢科技，〈2010上半年檔案威脅趨勢〉，網址：http://www.overclocker.com.tw/readvarticlen.asp?id=20751，上網日期：2010年11月8日。
[15]	APEC, APEC Privacy Framework,
http://www.ag.gov.au/www/agd/rwpattach.nsf/VAP/(03995EABC73F94816C2AF4AA2645824B)~APEC+Privacy+Framework.pdf/$file/APEC+Privacy+Framework.pdf, accessed 2011/5/13.
[16]	BS 10012, Data Protection- Specification for a Personal Information Management System, British Standards Institution.
[17]	Chang, Y. W., Ku, C. Y., and Yen, D. C., “National Information Security Policy and Its Implementation：A Case Study in Taiwan,” Telecommunications Policy, Vol. 33, pp. 371-384, Aug. 2009.
[18]	Doyle, S., Kennedy, G., Lui, B., et al., “Data Protection in the Asia-Pacific Region,” Computer Law & Security Report, Vol. 25, pp. 59-68, Jun. 2009.
[19]	Gounaris, A., and Theodoulidis, B., “Data Base Management
Systems (DBMSs): Meeting the Requirements of the EU Data Protection 
Legislation,” International Journal of Information Management, Vol. 23, pp. 185-199, Jun. 2003.
[20]	Henderson, S. C., and Snyder, C. A., “Personal Information Privacy: Implications for MIS managers,” Information and Management, 
Vol. 36, pp. 213-220, Oct. 1999.
[21]	Hilton, J., “Improving The Secure Management of Personal Data: 
Privacy On-line IS Important, But It's Not Easy,” Information Security 
Technical Report, Vol. 14, pp. 124-130, Aug. 2009.  
[22]	ISO/IEC 27001, Information Technology- Security Techniques- Information Security Management Systems- Requirements.
[23]	Marks, A., and Rezgui, Y., “Information Security Awareness in 
Higher Education: An Exploratory Study,” Computers & Security, Vol. 27, pp. 241-253, Dec. 2008. 
[24]	OECD, OECD Guidelines on the Protection Of Privacy And Transborder 
Flows of Personal Data. 
http://www.oecd.org/document/18/0,3746,en_2649_34255_1815186_1_1_1_1,00.html, accessed 2011/1/11.