壹、PIMS個人資料管理系統源起
PIMS研究最早於1960年在美國通用電氣公司內部開展，主要目的是找出市場佔有率的高低對一個經營單位的業績到底有何影響。以通氣電器公司各個經營單位的一些情況作為資料來源，經過幾年的研究和驗證，研究人員建立了一個回歸模型。該模型能夠辨別出與投資收益率密切相關的一些因素，而且這些因素能夠較強地解釋投資收益率的變化。
到1972年，PIMS研究的參與者已不再局限於通用電氣公司內部的研究人員，而是包括哈佛商學院和市場科學研究所的學者們。在這個階段，該項研究所用的資料庫不僅涉及通用電器公司的情況，還包括許多其它公司內經營單位的資訊資料。
1975年，由參加 PIMS研究的成員公司發起成立了一個非盈利性的研究機構，名為“戰略規劃研究所”，由它來負責管理PIMS專案並繼續進行研究。迄今為止，已有200多個公司參加了PIMS專案，其中多數在財富500家全球最大的企業中榜上有名。
後期PIMS研究的主要目的是發現市場法則，即要尋找出在什麼樣的競爭環境中，經營單位採取什麼樣的經營戰略會產出怎樣的經濟效果。具體來說，它要回答下面幾個問題：
1、對於一個給定的經營單位，考慮到它的特定市場、競爭地位、技術、成本結構等因素，什麼樣的利潤水準算是正常的和可以接受的？
2、哪些戰略因素能夠解釋各經營單位之間經營業績的差別？
3、在給定的經營單位中，一些戰略性變化如何影響投資收益率和現金流量？
4、為了改進經營單位的績效，應進行怎樣的戰略性的變化，以及在什麼方向上做出這些變化？

貳、BS 10012:2009 發佈
BSI英國標準協會於2009年正式發佈BS 10012:2009個人資訊管理體系(Personal Information Management System, PIMS)，此標準具體說明了對個人資訊管理體系的各項要求，其提供了一個架構，讓組織能維持和改善對資料保護法律及最佳實踐的遵循，同時也是對ISO27001資訊安全管理體系在個人資訊保護方面的進一步深化，以在個人資料利用與保護之間進行合理的平衡，降低組織運營與合規方面的風險。

叁、何謂 BS 10012 個人資訊管理
BS 10012 PIMS由英國標準協會基於OECD、APEC及資料保護法對於個人資訊管理制定而來。
BS 10012與其他國際標準一致，定義了個人資訊管理系統(Personal Information Management System PIMS)的要求。標準的設計確保有充分、適當的控制措施，並有助於保護個人資訊、增強包括客戶、當事人等利害關係人對於組織在個人資訊管理上的信心。標準採用過程方法來建立、施行、運作、監控、審查、維護及改善組織的個人資訊管理系統(PIMS)。BS 10012絕對不只是針對資通訊(ICT)技術的標準要求，更多的是從法律面、管理面與流程面對於個人資訊的管理，在符合國內 個人資料保護法及組織所應遵循產業之最佳實務要求下，進行保障組織所持有之個人資訊。

肆、PIMS 管理原則
PIMS是“個人資訊管理體系”(Personal Information Management System)的縮寫，是一套對個人資訊進行保護的管理方法論，主要針對管理或使用個人資訊的企業或組織，目的是保護個人隱私。
PIMS的核心思想主要通過八大管理原則體現：　　
第一原則–受到公平合法的處理；　　
第二原則–僅為具體指明的目的取得，且不會受到不符合此等目的的方式處理；　　
第三原則–適當、相關且不過度；　　
第四原則–正確且最新；　　
第五原則–保留時間不超過必要程度；　　
第六原則–處理方式符合法律賦予個人的權利，包括標的存取權　　
第七原則–獲得安全保障；　　
第八原則–不在未受到適當保護的情況下被轉移到境外的國家。

伍、、BS 10012 為何需搭配 ISO27001

BS10012個人資訊管理體系與ISO27001資訊安全管理體系有很強的關聯性，但區別也是明顯的，ISO27001目的是廣義資訊的安全，即保密性、完整性、可用性，而BS 10012目的是不對個人資訊進行未授權的使用，安全是達到此目的的一個手段。組織可以利用ISO 27001作為個人資訊保護在資訊安全方面細化的方法。

陸、PIMS全球性的問題
資訊的安全性本來就不容易維持，即使是技術最先進、最大的國際公司，顯然也無法倖免於難。例如谷歌(Google)最近展開雄心勃勃的街景專案，在世界各地拍攝以照片為主的鄉鎮城市。這個網路巨擘不得不承認在收集地圖資訊時，一直”不當地從開放式(即無密碼保護)無線網路進行負載資料的採樣”，隨即緊急聲明” 從未將那些資料用於任何的Google產品”。
Google工程研發部的資深副總 Alan Eustace五月在公司的官方部落格解釋：”在我們發現問題之後，我們立即銷毀了我們的街景車，並從我們網路上把資料區隔開來，之後切斷連接，讓資料無法被存取。”
“這個事件突顯出公共可存取、開放式、無密碼保護的無線網路的現況”。
Google堅稱這是無心之過，但此舉已經在世界各地掀起資料保護的浪潮。 
康州的檢察總長Richard Blumenthal 最近在美國成立了一個37州的聯盟，要求搜尋引擎巨擘回答進一步的問題，並條列出進行未授權資料收集的特定地點。
他在一份聲明中指出：“我們將會採取所有必要的步驟，包括潛在的法律行動，以取得全面性的完整回覆。Google必須坦承，並詳細說明這種侵犯隱私的情況是怎麼發生的，以及為什麼會發生。”

柒、全球性的PIMS問題
資訊的安全性本來就不容易維持，即使是技術最先進、最大的國際公司，顯然也無法倖免於難。例如谷歌(Google)最近展開雄心勃勃的街景專案，在世界各地拍攝以照片為主的鄉鎮城市。這個網路巨擘不得不承認在收集地圖資訊時，一直”不當地從開放式(即無密碼保護)無線網路進行負載資料的採樣”，隨即緊急聲明” 從未將那些資料用於任何的Google產品”。
Google工程研發部的資深副總 Alan Eustace五月在公司的官方部落格解釋：”在我們發現問題之後，我們立即銷毀了我們的街景車，並從我們網路上把資料區隔開來，之後切斷連接，讓資料無法被存取。”
“這個事件突顯出公共可存取、開放式、無密碼保護的無線網路的現況”。
Google堅稱這是無心之過，但此舉已經在世界各地掀起資料保護的浪潮。 
康州的檢察總長Richard Blumenthal 最近在美國成立了一個37州的聯盟，要求搜尋引擎巨擘回答進一步的問題，並條列出進行未授權資料收集的特定地點。
他在一份聲明中指出：“我們將會採取所有必要的步驟，包括潛在的法律行動，以取得全面性的完整回覆。Google必須坦承，並詳細說明這種侵犯隱私的情況是怎麼發生的，以及為什麼會發生。”


捌、維持PIMS合法性
Google的案例有效地凸顯了各行各業必須要有能力展現資料風險管理政策，是完全合情合理的。
歐盟的資訊保護則列出了儲存與處理個人資料的八大原則，包括僅限相關、精確且特定用途的資料，資料只能在必要時保存，且需完整保護。其他的行政區也有類似的原則。然而，資料保護法令，例如像英國的資料保護法案(DPA)，一般並未提供確保符合規定的固定架構，而是由各家公司負責擬定適當的系統與技術。
BSI 資料保護標準 - BS 10012:2009 個人資訊管理系統的規格- 在此可以派上用場，因為這是專為緩和公司在管理個人資料的風險所開發的。公家機關與民間企業同樣適用，該標準條列出擬定穩固個人資訊管理系統(PIMS)的步驟，包括關於員工訓練與整體風險評估的決策，以及研擬資訊共享、保留、處置與揭露政策的策略。 

玖、輔導認證流程

       第一階段【輔導準備】
          1. 輔導合約簽訂   2. 現有廠區診斷   3. 成立PIMS管理推動小組   4. PIMS教育訓練

       第二階段【系統建置】
          5. PIMS規劃整合   6. 程序 / 辦法編製   7. PIMS手冊編製   8. 作業指導書編製   9. 表單彙整

       第三階段【 推動展開】
         10. 文件系統說明會宣導   11. 全面試行實施   12. 各階文件試行後檢討修訂   13. 內部稽核   14. PIMS管理審查

       第四階段【驗證作業與頒證】
         15. 提出驗證申請   16. 預評   17. 正評
 
拾、個資輔導特色
      1資深.ISO顧問背景    2.搭配IT解決方案     3.從律師角度解套