淡江大學2012年10月全校導入BS 10012個人資料管理制度(PIMS)，並於2013年12月順利通過驗證。本研究以淡江為個案研究之對象，發放問卷並整理出導入制度事前、事中及事後之經驗，及導入前後之比較，並與專家訪談，整理出淡江順利取得BS 10012驗證通過之關鍵及提出建議。
	研究發現，導入的過程中，教育訓練是貢獻最大的資源；導入後，個人資料管理制度運作良好且組織仍持續改善制度；導入前後之比較，職員較導入前較會追蹤個資如何使用、各單位蒐集的個資種類較導入前少。順利取得驗證的關鍵有：上級長官的支持、個人資料管理委員會的規劃與推動、推動單位的熱誠。

BS 10012, a Personal Information Management System (PIMS), was introduced into Tamkang University in 2012 and was certified in 2013. Taking TKU as the case study candidate, we send questionnaire to associated faculty and collect the experience before, during and after the system was introduced while comparing the influence before and after the introduction. Furthermore, we interview experts in the field and finally we conclude the key to the success of the introduction and provide suggestion.     
     It is found that educational training contributes most of the resources during the process and PIMS operates well while being improved by the organization. After the introduction, faculty becomes more adept at using and tracking personal information and the types of personal information collected by units becomes fewer. There are several keys to the success, including the support from the superior officers, the planning and promoting of the Committee of Personal Information and the enthusiasm of the promotion unit.

目次

英文摘要	II
目次	III
表目錄	V
圖目錄	IX
 第一章　緒論	1
第一節	研究背景與動機	1
第二節	研究目的	1
第三節	研究對象	2
第四節	論文架構	3
 第二章　文獻探討	5
第一節	個人資料保護法	5
第二節	個人資料管理制度	6
第三節	淡江大學個人資料管理制度	9
第四節	相關文獻探討	14
第五節	企業導入個人資料管理制度案例	17
 第三章　研究方法	22
第一節	研究步驟	22
第二節	問卷設計	22
第三節	問卷發放描述	23
第四節	統計分析方法與工具	24
第五節	專家訪談過程	24
 第四章　資料分析	25
第一節	受測者基本資料分析	25
第二節	問卷回收分析	28
第三節	問卷信度與效度分析	41
第四節	問卷交叉分析	41
第五節	訪談	49
第六節	研究發現	52
 第五章　結論與建議	62
第一節	結論	62
第二節	建議	64
參考文獻	66
附錄一：問卷架構	69
附錄二：問卷題目	82
附錄三：問卷不採用BS10012控制項的理由	87
附錄四：訪談逐字稿─淡江大學 黃資訊長	89
附錄五：訪談逐字稿─淡江大學 王副資訊長	91
附錄六：訪談逐字稿─淡江大學 孔秘書	93
附錄七：訪談逐字稿─淡江大學 李秘書	96
附錄八：訪談逐字稿─台北市電腦公會 李主任	97

表目錄

表 2-1   PIMS制度比較	7
表 2-2   導入之時程	9
表 2-3   英文相關文獻	14
表 2-4   中文相關文獻	15
表 4-1   受測者性別	25
表 4-2   受測者單位別	25
表 4-3   樣本職位	26
表 4-4   受測者的年資	26
表 4-5   受測者的最高學歷	26
表 4-6   樣本畢業學校	27
表 4-7   樣本詳細資料	28
表 4-8   稽核前後，對政策熟悉程度	29
表 4-9   貢獻最大的資源	29
表 4-10  風險最大的族群	30
表 4-11  PIMS是否深植於組織中	31
表 4-12  是否同意風險等級？	31
表 4-13  風險等級造成業務不方便？	31
表 4-14  教育訓練4小時是否足夠	32
表 4-15  最難填寫的表格	32
表 4-16  遵守組織要求？	33
表 4-19  合約符合要求	33
表 4-17  是否有組織分享的經驗	33
表 4-18  簽約？	33
表 4-20  個資導入後，各單位蒐集個資是否變少	34
表 4-21  個資蒐集變少，是否造成業務不方便？	34
表 4-22  安全議題	35
表 4-23  持續追蹤第三方如何使用個資	35
表 4-24  導入前後，是否會做安全性評估	36
表 4-25  發包前，稽核是否可行	36
表 4-26  準備稽核的時間	37
表 4-27  稽核員的最重要的條件	37
表 4-28  確實根據矯正預防單改善PIMS	38
表 4-29  存在不符合事項的根本原因	38
表 4-30  組織是否仍持續改善系統	38
表 4-31  對持續改善最有效益的項目	39
表 4-32  最有可能發生之個資案件	39
表 4-33  導入前後，索取個資的難易度	39
表 4-34  影響索取個資難易度之原因	40
表 4-35  信度分析	41
表 4-36  通過卡方檢定有顯著關係	42
表 4-37  通過 BS10012和遵守組織要求	42
表 4-38  不同單位和遵守組織要求	43
表 4-39  導入後參與稽核和遵守組織要求	43
表 4-40  個資法熟悉度和導入後對政策的熟悉	44
表 4-41  BS 10012熟悉度和導入後對政策的熟悉	44
表 4-42  ISO 27001和導入前之安全性評估	44
表 4-43  性別不同和在發包前對外包廠商稽核可行性	45
表 4-44  ISO 27001和導入前是否追蹤第三方如何使用個資	45
表 4-45  個資制度文件之擬訂和貢獻最大的資源	46
表 4-46  性別不同和認為最難填寫的表單	46
表 4-47  性別不同和稽核員須具備哪項條件	46
表 4-48  族群與年資的交叉比較	47
表 4-49  對政策的熟悉度和教育程度交叉分析	48
表 4-50  對政策的熟悉度和學院交叉分析	48
表 4-51  貢獻最大的資源與單位交叉分析	49
表 4-52  可作為其他組織參考的經驗	51
表 5-1   關鍵因素整理	62

圖目錄
圖 2-1  淡江個人資料管理委員會組織架構圖	12
圖 2-2  公會個資管理小組	19
圖 3-1  研究步驟	22

參考文獻
一、	中文文獻
[1]	行政院法務部，〈個人資料保護法〉，2010，網址：http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021，上網日期：2015年3月8日。
[2]	行政院法務部，〈電腦處理個人資料保護法〉，1995，網址：http://law.moj.gov.tw/LawClass/LawOldVer_Vaild.aspx?PCODE=I0050021，上網日期：2015年3月8日。
[3]	行政院經濟部商業司，〈TPIPAS〉，2012，網址： http://www.tpipas.org.tw/index.aspx，上網日期：2015年3月8日。
[4]	李俊賢，〈基於BS 10012建置校園個人資料保護管理－以台中市某國中學務資訊系統為例〉，碩士論文，大葉大學管理學院，2014。
[5]	花俊傑，《初探BS 10012個人資訊管理標準》，網管人，2010年4月14日，網址：http://www.netadmin.com.tw/article_content.aspx?sn=1004140001/，上網日期2015年3月8日。
[6]	張芳全，《統計就是要這樣跑》，心理出版社，2013。
[7]	張書鳴，〈以BS10012為基礎評估組織導入個人資料管理制度之研究〉，碩士論文，淡江大學資訊管理學系，2011。
[8]	行政院教育部，〈內容效度-教育wiki〉，網址：http://content1.edu.tw/wiki/index.php/%E5%85%A7%E5%AE%B9%E6%95%88%E5%BA%A6，上網日期2015年3月8日。
[9]	許家豪，〈綜合證券商個人資訊管理系統符合BS 10012標準之研究〉，碩士論文，世新大學資訊管理學系，2003。
[10]	高啟淵，〈證券商導入個人資料管理系統之研究-以K公司為例〉，碩士論文，大同大學資訊經營學系，2015。
[11]	楊姍姍，〈影響教育機構導入BS 10012認證之關鍵因素〉，碩士論文，中興大學資訊管理學系，2013。
[12]	鄒宛璉，〈以BS 10012為基礎評估大專校院導入個人資訊管理制度之研究〉，碩士論文，淡江大學資訊管理學系， 2011。
[13]	廖珮君，《個資標準夯　金融業偏愛BS 10012》，資管人，2012年2月20日，網址：http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6621，上網日期：2015年3月8日。
[14]	iThome，《戰勝個資法》， iThome電腦報專刊， p. 19，2012年10月。


二、	國外文獻
[15]	APEC (Asia-Pacific Economic Cooperation), APEC Privacy Principles, 2003. http://www.apec.org/Groups/Committee-on-Trade-and-Investment/~/media/Files/Groups/ECSG/05_ecsg_privacyframewk.ashx/, accessed 2015/3/6.
[16]	BSI (British Standards Insitution), BS 10012: Data Protection - Specification for a Personal Information Management System, 2009. 
[17]	Deming, W. E., Out of the Crisis, MIT Center for Advanced Engineering Study, 1986. 
[18]	Higgins S., A. U., Information Security Management: Using BS 10012:2009 to Comply with The Data Protection Act, 12 August 2009. http://www.dcc.ac.uk/resources/briefing-papers/standards-watch-papers/information-security-management-using-bs-100122009-#c6/, accessed 2015/3/8.
[19]	Huang, C.-C., A Study on Information Security Management with Personal Data Protection, IEEE, pp. 624 - 630, 7-9 Dec. 2011. 
[20]	Huang, C.-C., A Study on ISMS Policy: Importing Personal Data Protection of ISMS, 2012. http://oplab.im.ntu.edu.tw/download/pubication/journal/J38_2012_A%20Study%20on%20ISMS%20Policy%20Importing%20Personal%20Data%20Protection%20of%20ISMS.pdf/, accessed 2015/3/6. 
[21]	International Association of Privacy Professionals, CIPP certification- Certified Information Privacy Professional certification, 2004. https://www.privacyassociation.org/, accessed 2015/3/8.
[22]	ISO (International Organization for Standardization), ISO/IEC 27018:2014, 2014. 
[23]	Liu, C. Y., Critical Factors of Educational Institutions Adoption for BS 10012: Persional Information Management System, International Journal of Network Security, vol. 16, No.3, pp. 161-167, 2014.
[24]	OECD (Organization for Economic Co-operation and Development), OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.html/, accessed 2015/3/8.
[25]	日本經濟產業省、『JIS Q 15001』、2006，網址： http://privacymark.jp/reference/pdf/guideline_V2.0_120907.pdf/，上網日期：2015年3月8日。