很多企業把「個資事件調查」想成危機發生後的補救程序:先止血、再寫報告、最後交代。
但在實務上,真正決定事件損害大小的,往往不是你出事後有沒有寫出漂亮報告,而是你出事前有沒有把調查機制設計進日常治理。

事故辨識與分級、證據保全、根因分析、通報決策、改善落地。這些能力如果只在事故當天才臨時啟動,通常都太晚。

一、多數組織卡在「形式合規」

在台灣脈絡下,個資治理正從形式合規走向實質治理。差別在於:

  • 形式合規:文件齊全、稽核紀錄完整,但事件來時角色混亂
  • 實質治理:DPO、專責人員、查核人員分工明確,事故處理能即時運轉

也就是說,制度有沒有「被用」比制度有沒有「存在」更重要。

二、真正的壓力測試在前 4 小時

以常見情境為例:離職人員疑似帶走客戶資料,並在競業環境使用。這時候最常出現的不是技術問題,而是治理問題:

  1. 誰先判定事件等級?
  2. 誰啟動證據保全?
  3. 誰決定是否往個資法 §12 的通報路徑前進?
  4. 誰對內統一口徑、對外負責?

如果這四題在會議室裡沒有一致答案,風險就不在事件本身,而在組織的決策斷點。

三、事故應變前移六步驟

以下是可直接落地的六步驟框架:

Step 1|先定義「什麼叫事件」

建立事故分級標準(疑似、確認、重大),避免第一時間陷入「這算不算事件」的空轉。

Step 2|角色矩陣先畫好

把 DPO、專責人員、查核人員的責任切清楚:

  • DPO:風險裁決與通報決策
  • 專責人員:第一線蒐證、紀錄、協調執行
  • 查核人員:獨立驗證流程是否符合內控要求

Step 3|證據保全流程標準化

把「要保哪些紀錄、誰能取證、如何保存鏈結」寫成可執行清單,不靠臨場記憶。

Step 4|通報決策門檻制度化

以 PDPA §12 為依據,預先定義觸發條件與決策流程,避免臨場才討論法條。

Step 5|根因分析要追到制度層

不要停在「某員工疏失」,要追問:

  • 權限控管是否失效?
  • 離職流程是否有漏洞?
  • 訓練是否只停留在簽到?

Step 6|矯正與預防閉環

每一次事件都必須回到內稽與管理審查,變成可追蹤的改善項目,不讓同一缺口重複發生。

四、三個最容易被忽略的盲點

  1. 球員兼裁判:同一批人又執行又查核,客觀性不足。
  2. 只改文件不改流程:稽核看起來合規,現場仍無法運作。
  3. 把通報當法律部門的事:通報是治理決策,不是單一部門作業。

五、完成第一輪能力建置

  • 完成事件分級與角色矩陣
  • 完成證據保全清單與通報決策表
  • 跑一次桌上演練(Tabletop Exercise)
  • 把演練發現轉為 CAPA,納入下一次內稽追蹤

這樣做的價值,不只是降低裁罰風險,而是讓企業在危機來臨時仍能維持治理秩序。

結語

個資事件調查的本質,不是「事後調查技術」,而是「事前治理能力」。
當你把事故應變前移,事件就不再只是損害,而會變成一個讓制度升級的轉折點。 真正有韌性的組織,不是從不出事,而是每次出事都能更快、更準、更一致地回應。