壹、PIMS個人資料管理系統源起
PIMS研究最早於1960年在美國通用電氣公司內部開展，主要目的是找出市場佔有率的高低對一個經營單位的業績到底有何影響。以通氣電器公司各個經營單位的一些情況作為資料來源，經過幾年的研究和驗證，研究人員建立了一個回歸模型。該模型能夠辨別出與投資收益率密切相關的一些因素，而且這些因素能夠較強地解釋投資收益率的變化。
到1972年，PIMS研究的參與者已不再局限於通用電氣公司內部的研究人員，而是包括哈佛商學院和市場科學研究所的學者們。在這個階段，該項研究所用的資料庫不僅涉及通用電器公司的情況，還包括許多其它公司內經營單位的資訊資料。

台灣的個資法已經在2010年5月頒布，對公務機關、非營利組織或民營企業都有管飯的衝擊與影響。尤其是現今電腦網路資訊發達，商業行銷與交易行為種類及數量繁多，企業應該積極著手制訂相關的管理辦法與購買必要的電腦軟硬體，避免客戶或員工的個人資料被洩漏、竊取或竄改等等。個資法相應罰則也提醒企業不可忽視個資的重要性，以免引發經營的危機。 
 
貳、新版 BS 10012：2017 已經於2017年3月31日正式發布
此次修訂是順應全球產業趨勢的需求，並為個人資料的蒐集、儲存到後續處理注入全面性的資訊治理概念，包含：資料外洩時及時獲得通知、匿名化個資的使用，與被遺忘權的權利行使和資料可攜權的要求等。 
本次修訂的一大目的是調和歐盟於2016年4月14日正式通過的「一般資料保護規範 (GDPR)」，由於此法令將於2018年5月25日起正式實施，不僅規範在歐盟境內設立的企業組織及其海外分支機構、關係企業，還將適用範圍擴大至傳輸、蒐集及處理歐盟民眾個資的境外組織，因此更加突顯了新版BS 10012:2017標準在全球的重要性。

叁、何謂 BS 10012 個人資訊管理
BS 10012 PIMS由英國標準協會基於OECD、APEC及資料保護法對於個人資訊管理制定而來。
BS 10012與其他國際標準一致，定義了個人資訊管理系統(Personal Information Management System PIMS)的要求。標準的設計確保有充分、適當的控制措施，並有助於保護個人資訊、增強包括客戶、當事人等利害關係人對於組織在個人資訊管理上的信心。標準採用過程方法來建立、施行、運作、監控、審查、維護及改善組織的個人資訊管理系統(PIMS)。BS 10012絕對不只是針對資通訊(ICT)技術的標準要求，更多的是從法律面、管理面與流程面對於個人資訊的管理，在符合國內 個人資料保護法及組織所應遵循產業之最佳實務要求下，進行保障組織所持有之個人資訊。

肆、PIMS 管理原則
PIMS是“個人資訊管理體系”(Personal Information Management System)的縮寫，是一套對個人資訊進行保護的管理方法論，主要針對管理或使用個人資訊的企業或組織，目的是保護個人隱私。
PIMS的核心思想主要通過八大管理原則體現：　　
第一原則–受到公平合法的處理；　　
第二原則–僅為具體指明的目的取得，且不會受到不符合此等目的的方式處理；　　
第三原則–適當、相關且不過度；　　
第四原則–正確且最新；　　
第五原則–保留時間不超過必要程度；　　
第六原則–處理方式符合法律賦予個人的權利，包括標的存取權　　
第七原則–獲得安全保障；　　
第八原則–不在未受到適當保護的情況下被轉移到境外的國家。

伍、、BS 10012 為何需搭配 ISO27001

BS10012個人資訊管理體系與ISO27001資訊安全管理體系有很強的關聯性，但區別也是明顯的，ISO27001目的是廣義資訊的安全，即保密性、完整性、可用性，而BS 10012目的是不對個人資訊進行未授權的使用，安全是達到此目的的一個手段。組織可以利用ISO 27001作為個人資訊保護在資訊安全方面細化的方法。

陸、PIMS全球性的問題
資訊的安全性本來就不容易維持，即使是技術最先進、最大的國際公司，顯然也無法倖免於難。例如谷歌(Google)最近展開雄心勃勃的街景專案，在世界各地拍攝以照片為主的鄉鎮城市。這個網路巨擘不得不承認在收集地圖資訊時，一直”不當地從開放式(即無密碼保護)無線網路進行負載資料的採樣”，隨即緊急聲明” 從未將那些資料用於任何的Google產品”。
Google工程研發部的資深副總 Alan Eustace五月在公司的官方部落格解釋：”在我們發現問題之後，我們立即銷毀了我們的街景車，並從我們網路上把資料區隔開來，之後切斷連接，讓資料無法被存取。”
“這個事件突顯出公共可存取、開放式、無密碼保護的無線網路的現況”。
Google堅稱這是無心之過，但此舉已經在世界各地掀起資料保護的浪潮。 
康州的檢察總長Richard Blumenthal 最近在美國成立了一個37州的聯盟，要求搜尋引擎巨擘回答進一步的問題，並條列出進行未授權資料收集的特定地點。
他在一份聲明中指出：“我們將會採取所有必要的步驟，包括潛在的法律行動，以取得全面性的完整回覆。Google必須坦承，並詳細說明這種侵犯隱私的情況是怎麼發生的，以及為什麼會發生。”

柒、全球性的PIMS問題
資訊的安全性本來就不容易維持，即使是技術最先進、最大的國際公司，顯然也無法倖免於難。例如谷歌(Google)最近展開雄心勃勃的街景專案，在世界各地拍攝以照片為主的鄉鎮城市。這個網路巨擘不得不承認在收集地圖資訊時，一直”不當地從開放式(即無密碼保護)無線網路進行負載資料的採樣”，隨即緊急聲明” 從未將那些資料用於任何的Google產品”。
Google工程研發部的資深副總 Alan Eustace五月在公司的官方部落格解釋：”在我們發現問題之後，我們立即銷毀了我們的街景車，並從我們網路上把資料區隔開來，之後切斷連接，讓資料無法被存取。”
“這個事件突顯出公共可存取、開放式、無密碼保護的無線網路的現況”。
Google堅稱這是無心之過，但此舉已經在世界各地掀起資料保護的浪潮。 
康州的檢察總長Richard Blumenthal 最近在美國成立了一個37州的聯盟，要求搜尋引擎巨擘回答進一步的問題，並條列出進行未授權資料收集的特定地點。
他在一份聲明中指出：“我們將會採取所有必要的步驟，包括潛在的法律行動，以取得全面性的完整回覆。Google必須坦承，並詳細說明這種侵犯隱私的情況是怎麼發生的，以及為什麼會發生。”


捌、維持PIMS合法性
Google的案例有效地凸顯了各行各業必須要有能力展現資料風險管理政策，是完全合情合理的。
歐盟的資訊保護則列出了儲存與處理個人資料的八大原則，包括僅限相關、精確且特定用途的資料，資料只能在必要時保存，且需完整保護。其他的行政區也有類似的原則。然而，資料保護法令，例如像英國的資料保護法案(DPA)，一般並未提供確保符合規定的固定架構，而是由各家公司負責擬定適當的系統與技術。
BSI 資料保護標準 - BS 10012:2009 個人資訊管理系統的規格- 在此可以派上用場，因為這是專為緩和公司在管理個人資料的風險所開發的。公家機關與民間企業同樣適用，該標準條列出擬定穩固個人資訊管理系統(PIMS)的步驟，包括關於員工訓練與整體風險評估的決策，以及研擬資訊共享、保留、處置與揭露政策的策略。 

玖、輔導認證流程

       第一階段【輔導準備】
          1. 輔導合約簽訂   2. 現有廠區診斷   3. 成立PIMS管理推動小組   4. PIMS教育訓練

       第二階段【系統建置】
          5. PIMS規劃整合   6. 程序 / 辦法編製   7. PIMS手冊編製   8. 作業指導書編製   9. 表單彙整

       第三階段【 推動展開】
         10. 文件系統說明會宣導   11. 全面試行實施   12. 各階文件試行後檢討修訂   13. 內部稽核   14. PIMS管理審查

       第四階段【驗證作業與頒證】
         15. 提出驗證申請   16. 預評   17. 正評
 
拾、個資輔導特色
      1資深.ISO顧問背景    2.搭配IT解決方案     3.從律師角度解套