FDA對於食品製程中應用奈米科技者發布產業指引草案

　　美國懷俄明州眾議院（Wyoming House of Representatives）於2018年2月19日無異議地表決通過HB0070法案，該法案將鬆綁功能代幣（utility token）於懷俄明州證券法（Securities Act）之限制。該法案將送往參議院，若順利通過並經州長簽署核准，將於2018年7月1日生效，使懷俄明州成為友善的區塊鏈投資環境，預計吸引大量新創事業於該州進行首次代幣眾籌（Initial Coin Offerings, ICO）。 　　該法案針對功能代幣設有三種要件，僅於符合三種要件者始能作為法案所稱的功能代幣，得免受證券法規管。三種要件分別為：一、功能代幣之開發者和發行者不得將代幣作為投資而行銷；二、該代幣須可作為換取商品或服務之對價；三、該代幣之開發者或發行者不得主動進行附買回協議（repurchase agreement）或任何有意操縱代幣二級市場之價格之協議或策劃。 　　此外，懷俄明州另有三部有關區塊鏈之法案亦正待審議，包含同樣甫經眾議院通過之HB0019法案，使加密貨幣免受懷俄明州貨幣傳輸法（Money Transmitters Act）規範，有望可使加密貨幣在懷俄明州進行交易或交換。此外，正於眾議院進行二審的HB0101法案預計將修正懷俄明州商業公司法（Business Corporations Act），開放公司得使用區塊鏈來儲存資料並進行內部聯繫。又，尚待眾議院審議的SF0111法案預計使加密貨幣免於受州財產稅法之規範。

我國與日本企業增僱薪資費用稅捐優惠之研究與啟示 資訊工業策進會科技法律研究所 2024年10月01日 一、新修正中小企業發展條例第三十六條之二 《中小企業發展條例》（下稱中小條例）於2024年7月12日經立法院三讀通過後迎來了第35條研發投抵、第35條之1智慧財產權作價入股緩課及第36條之2薪資費用加成減除的延長適用[1]，其中第36條之2分別有員工增僱、員工加薪薪資費用加成減除二項措施。根據該條第1項規定，中小企業增僱24歲以下或65歲以上員工並達法定要件者，得以增僱員工所支付之薪資費用之200%減除應納所得額，是立法者希望透過稅法減輕依法增僱之中小企業的營利事業所得稅負擔，藉此協助中小企業人力資源規劃、提升延攬青年與高齡者意願[2]。 稅捐法律關係本為支應國家一般財政需要，課予人民公法上金錢給付義務時應強調納稅義務之平等[3]，故稅捐優惠者實則稅法上例外規定[4]。本次修法以企業僱用特定年齡員工作為稅法上非財政目的[5]，既為針對特定費用予以中小企業稅捐負擔上差別待遇，是在引導企業主從事立法者所欲引導之行為時—即企業以增加僱用員工之形式增加支出—，稅捐立法就值得謹慎思考，如何在稅制適用上透過稅捐構成要件，盡可能使企業應減稅的行為達成稅法上非財政目的，以確保差別待遇之合理正當[6]。 關注於企業增僱薪資費用稅捐優惠，實證上在日本立法例中亦有所見，且該國稅制之發展已有逾12年之背景，尤具比較意義。本文將以稅法上非財政目的為中心，分別梳理兩國稅捐優惠立法，論述立法上有效引導企業增僱員工，並比較不同稅制的偏重與新意。 二、我國中小企業增僱薪資費用加成減除稅制 （一）、立法沿革與非財政目的 中小條例第36條之2的制定最早可追溯至2014年，當時國內廣泛呼籲解決青年失業率和薪資水準的問題[7]，立法者於是鎖定在經濟景氣之影響[8]，以中小企業增僱員工所支出之薪資費用為標的，訂定營利事業所得費用加成減除稅捐優惠，希望透過減稅的方式提升國內中小企業投資意願並帶動就業率[9]。 隨後，為鼓勵企業與受雇員工共同分享經濟成果[10]，2015年該條文在第1項增僱稅捐優惠後增訂第2項，擴大僱用24歲以下員工之誘因[11]。申言之在經過一年的醞釀之後，改善青年就業的稅法上非財政目的，正式以減稅對象的年齡門檻作為適用條件，該稅制遂形成一般增僱與青年增僱稅捐優惠。 2024年中小條例第36條之2迎來重要修正，立法者明確指出將刪除既有的經濟景氣啟動門檻[12]，不再限於促進經濟反轉動能的概念；另外則維持了增僱、加薪薪資費用加乘減除的稅制架構。其中，增僱薪資費用修正後的稅法上非財政目的之設定緣由，大致有二： 1.考量國內人口結構少子女化趨勢及高齡者勞動參與問題。 2.產業變遷與轉型過程中的多元人才需求[13]。 申言之，稅式支出將用於放大薪資費用支出，減輕中小企業增僱員工後的營利事業所得稅負擔，並以少子女化、高齡者勞動等緣由填充中小企業增僱、加薪等非財政目的[14]。 （二）、稅制效果與適用要件 為了深入比較我國與日本增僱薪資費用稅捐優惠，以下就中小條例第36條之2第1項為範疇，進一步介紹該條文之適用要件。 1.適格受雇員工身份與減免效果 承前所述，現行中小條例第36條之2增僱員工對象，必須為24歲以下或65歲以上之受員工[15]，以符合引導企業僱用青年、高齡工作者的稅法上非財政目的。 稅捐優惠的減免效果方面，本條採取應納所得額費用加成減除措施，對於中小企業適格增僱行為，得按增僱所支付薪資金額之200%自營利事業所得額中減除[16]。亦即，在客觀淨所得原則之概念下，稅捐優惠減免效果發生於所得額計算階段，納稅義務人應再適用營利事業所得稅20%稅率，申報應納所得稅額。 2.基層員工薪資費用作為稅捐標的 增僱員工稅捐優惠以「基層員工」的薪資費用為稅捐標的，亦即得享有稅捐優惠之應納稅行為必須是增僱特定身分受僱員工之薪資費用。參酌行政院的立法文件可知[17]，框定基層員工的內涵是指該名員工經常性薪資未滿6萬2千元者，係採專業人員職類別薪資作為天花板，強化稅式支出與提高基層員工薪資的關聯性[18]。 3.企業整體薪資給付總額 中小條例第36條之2有關增僱加成減除的部分，雖然沒有明確指出增加僱用人數與薪資水準的關係[19]，但適用上仍設定了提高「企業整體薪資給付總額」的要件。根據現行授權子法規定，整體薪資給付總額指企業增僱本國籍員工之當年度總額，應高於比較薪資水準總額[20]。 其中比較薪資水準總額，須以企業當年度增僱員工數占前一年度僱用員工數之比例為被乘數，確立其依照前後年度僱用員工變動值；再乘以前一年度已增加支出資薪資費用總額，求得該企業按照人員變動所應該等比例支付的薪資；以此為比較基準，再以其3成作為中小企業在合理給付能力內應提升水準[21]；最後加總前一年度已支付薪資總額，求得增僱後應達到的薪資給付總額。由於中小企業當年度薪資給付總額，比較前一年度薪資水準後應有所提升，因此適用上將架構出中小企業必須在前一年度之薪資給付能力之上進行增僱，始有稅捐優惠之適用。 此一要件在實質反映企業可能有因員工離職人數大於增僱員工人數，以及避免企業縮編聘僱員額使整體薪資下降後再享有稅捐優惠等，具有稽徵公平的意義。假設某中小企業前年度員工為20人，當年度離職員工共5人，但當年度增僱員工3人，因此該人員變動值為18/20，因此按照前一年度所能支付薪資總額假設為n，等比例推算當年度應支出薪資總額應為n×18/20。以其3成作為提升水準，並加總前一年度已支出薪資費用，可知增僱後應達到之薪資給付總額為n+(n×18/20)×30%。在此情形下，比較薪資水準總額為1.27n，故增僱事實發生當年度即便有員工總數減少，中小企業之整體薪資給付總額仍需大於1.27n。 因此，本條稅制將要求納稅義務人必須確保，當年度增僱的所能支出薪資費用的能力較前一年度有所成長，在強化稅式支出與非財政目的之間的關係上可謂相當嚴謹[22]。 三、日本增僱薪資費用稅額扣除稅制 （一）、立法沿革與非財政目的 日本有關增僱薪資稅捐優惠，首見於2011年「僱用促進稅制」（雇用促進税制）[23]，當時配合「新成長戰略經濟對策」（新成長戦略実現に向けたの経済対策）政策，企業得按增加僱用所支出薪資費用一定比例享有營利事業所得稅額扣除，以稅制促進中小企業創造就業機會、基礎提升勞動所得[24]，從而帶動整體經濟增長[25]。 隨後，日本政府為了因應人口結構對地方經濟的負面影響，2016年立法者在新成長戰略經濟對策下延伸出「活化區域經濟」（地域活性化）目標[26]，在增僱稅捐優惠加上地理條件，新增「地方據點強化稅制」（地方拠点強化税制）[27]。引導企業在特定地區擴大投資或將業務遷移至特定地區時，以平衡區域經濟發展[28]。企業依據租稅特別措施法（租税特別措置法）第42條之12條規定，得按增僱員工數享有年度所得稅額定額扣除額、建築物加速折舊。 2020年僱用促進税制在確保「轉型投資與產業結構所須新興人力資源引進」之非財政目的下[29]，更名為「人才確保稅制」。參照內閣府的立法說明文件可知，為了因應後新冠疫情時代產業結構新常態、碳中和與轉型投資急迫性，有必要以稅捐優惠加速企業帶動經濟成長良性循環，並改善應屆就職環境[30]。企業依據租稅特別措施法第42條之12之5條規定，僱用新進員工（新規雇用者）所支付「調整薪資給付額」（比較給与等支給額）達法定比例者，得作為當年度所得稅額之扣除額。 鳥瞰日本增僱薪資稅捐優惠稅制，目前無論是地方據點強化稅制或是人才確保稅制，兩者在非財政目的上都與岸田首相新資本主義政策的「實現結構性薪資成長」子政策鏈結；著重在中小企業作為人力資源需求端的相對多數，給予其稅捐優惠有助於在經濟成長的過程中促進勞動力的適當流動[31]。 圖1 日本增僱稅制及其非財政目的演變 資料來源：本研究繪製 （二）、地方據點增僱稅制效果與適用要件 承前所述，日本增僱薪資稅制目前可分為地方據點強化稅制與人才確保稅制，從稅制效果與架構來看，前者可分為轉移型僱用促進型、擴張型僱用促進型，後者可分為人才確保基本型、人才確保增額型，以下逐項論述其特色及其適用要件。 1.地方業務設施整備計畫 地方據點強化稅制的增僱稅捐優惠，係以地方政府公告之「地方再生計畫指引」[32]框定地方經濟特性，以此引導納稅義務人從事特定營業設施與處所投資及員工增僱[33]。企業應依據該指引，說明地方據點投資的與規劃[34]，業務轉移或業務擴張的內容[35]，以及預計調任或增僱員工數，完成「業務設施整備計畫」。計劃書應送交地方再生推進事務局（即地方經濟產業局）核定[36]，確認後始可進行轉型或擴張投資，以此契合地方經濟實況、區域產業發展及移轉或擴張業務時的具體增僱需求[37]。 申請企業並須於每年年度終了時，向地方政府提交投資報告書（実施状況報告書），說明其營業設施與處所投資情形及實際任職或增僱員工數[38]。稅捐優惠之適用原則上與投資審查併行，只要企業於申報營利事業所得稅時，檢具前一年度稅務帳冊者，即可向稅務機關申請適用[39]。 2.類型化營業設施與處所 為了確保增僱薪資費用稅捐優惠與企業投資地方據點之關聯性，企業必須在前述計畫書中概要該名增僱員工預計於企業所投資之營業設施與處所從事之業務。也就是說，投資的營業設施與處所將成為適用稅捐優惠的一項附帶前提。 根據內閣府發布之業務設施指引可知，適格的增僱員工從業地點以業務用途分類，分別有事務場所、研究場所、育成場所，及其附屬之宿舍或商店、福利場所及兒童福利場所及設施[40]，詳細見下表。 表 1：增僱或調任員工定額稅額扣除計算 資料來源：本研究整理 3.地方據點增僱或調任員工定額稅額扣除 租稅特別措施法第42條之12第1項及第2項規定，企業於東京23區以外之地點增加僱用員工時，得按新增僱員工或轉正職員工兩種身分，適用不同減稅乘數。企業增僱當年度申報營利事業所得稅時，得按僱員工人人數乘以減稅乘數計算稅額扣除額，因此又稱定額稅額扣除制度[41]。 由於地方據點稅制依據地方業務設施整備計畫可分為業務擴張型、業務移轉型，其減稅乘數需分別計算[42]。 (1)若企業主要業務所在地為東京23區內，並於地方據點進行投資並完成增僱等業務，則稱為業務移轉型。此時企業得以不定期、全職之新僱用員工人數，乘以減稅乘數50萬日圓之積數，自當年度營利事業所得稅扣除額。或以約定轉正職之僱用員工人數，乘以減稅乘數40萬日圓之積數，自當年度營利事業所得稅扣除額[43]。 (2)若企業主要業務所在地為東京23區以外，並於地方據點進行投資並完成增僱等業務，則稱為業務擴張型。此時企業得以不定期、全職之新僱用員工人數，乘以減稅乘數30萬日圓之積數，自當年度營利事業所得稅扣除額。或以約定轉正職僱用員工人數，乘以減稅乘數20萬日圓之積數，自當年度營利事業所得稅扣除額[44]。 表 2：增僱或調任員工定額稅額扣除計算 資料來源：本研究繪製 需附帶說明的是，過往地方據點強化稅制增僱稅捐優惠定有大企業應增僱達5人以上、中小企業應增僱達2人以上，不過2023年修法後租稅特別措施法第42條之12已刪除人數門檻，亦即無論新僱用或轉正職1人皆有適用。 （三）、人才確保增僱稅制效果與適用要件 1.人才確保與新僱用者適格對象 人才確保促進稅制於2023年修正延長後，目前已與生產力提升稅制分立，其最重要的差異在於人才確保促進稅制不再要求中小企業在增僱員工的同時，必須附帶設備或軟體支出的投資[45]，而專門處理人力資源流動與經濟良好循環的關係[46]。 不同於舊法帶有擴大勞動所得的概念，稅捐優惠的適格對象為「繼續僱用者」（継続雇用者），修正後租稅特別措置法第42條之12之5第3項改以「僱用者」（雇用者）認定增僱要件；此一修正是為了配合解決第二次就業困境政策[47]所作出的放寬。而為了具體區隔稅制新、舊的差異，在日本經濟產業省或中小企業廳的官方文件中皆以「新進僱用員工」（新規雇用）說明，以契合改善應屆就業環境的財政目的[48]。 2.增僱員工比較薪資給付額 中小企業適用租稅特別措施法第42條之12之5第3項規定，增僱員工所支付「比較薪資給付費用」（比較給与等支給増加額）或「比較教育訓練費用」（比較教育訓練費）達法定比例者，得分別適用一般型增僱或增額型增僱稅額扣抵： (1)若中小企業當年度增僱員工所支付薪資總額，比較前一年度支付員工薪資總額之差額，占前一年度支付員工薪資總額之比例（即比較薪資給付增額）大於等於1.5%者，得按當年度增僱員工所支付薪資總額之15%，自當年度營利事業所得稅額中扣除。此為一般型增僱稅額扣抵。 (2)若中小企業當年度增僱員工所支付薪資總額，比較前一年度支付員工薪資總額之差額，占前一年度支付員工薪資總額之比例（即比較薪資給付增額）大於等於2.5%者，得按當年度增僱員工所支付薪資總額之30%，自當年度營利事業所得稅額中扣除。此為增額型增僱稅額扣抵。 (3)若中小企業增僱當年度之教育訓練費用，比較前一年度教育訓練費用之差額，占前一年度比較教育訓練費用之比例（即比較教育訓練費用）大於等於10%者，得按當年度增僱員工所支付薪資總額之25%，自當年度營利事業所得稅額中扣除。此為增額型增僱稅額扣抵。 倘若中小企業在增僱員工時，同時滿足上述一般型和增僱型的所有比較額條件，其當年度增僱員工薪資費用稅捐優惠，將按所支付薪資總額之40%自營利事業所得稅額中扣除。 （四）、小結－複數稅制的優勢 日本增僱薪資稅捐優惠從最初的新經濟成長論點，到因應地方就業人口議題的分支，再到目前以改善首次就業環境，在企業增僱與經濟發展此一課題上，已發展出複數稅制。這種複數稅制的立法，表現出立法者對稅法上非財政目的設定有其多義性，並與日本經濟發展的背景始終保持緊密關係。 在課稅標的篩選上，地方據點強化稅制以地方業務設施整備計畫作為適用前提，並以業務擴張及業務移轉兩種類型，呼應企業在地方據點雇用員工的可能性，具體鏈結引導企業從事特定應納稅行為與非財政目的的關聯性。而人才確保稅制則下分出一般型或增額型等概念，對於分層給予應納稅行為減稅誘因上，頗具新意。 四、企業增僱薪資費用稅捐優惠法制的啟示 綜觀現時日本地方據點強化稅制與人才確保促進稅制可知，在鼓勵中小企業增僱員工的政策目標下，立法者對非財政目的之調整相當靈活。雖然此與兩國立法週期不同直接相關，但其配合不同稅法上非財政目的所設定之課稅標的、適用要件，仍有值得參考之處。 首先，為了達成改善地方就業市場萎縮、衡平區域經濟落差之目的，在稅制上以業務移轉或者業務擴張去類型化企業往赴特定地區投資的經營行為，一定程度呼應了企業僱用新員工的真實性。另一方面，再搭配不同程度的稅捐優惠效果，盡可能提高稅式支出與地方據點增僱的關聯。 次者，在呼應人才確保的立法論述上，除了增僱薪資給付的計算外，額外新增的比較教育訓練費用無疑是鏈結「新常態、碳中和與轉型投資急迫性」的一種方法。此要件雖然在能否有效篩選出碳中和、轉型投資所需人才方面還值得進一步思考，然而將稅捐優惠設計成一般型、增額型的分層制度，展現了單一稅制配置不同應納（減）稅行為的參考依據[49]。 其三，在稅制要件與達成非財政目的之關聯性上，我國中小條例第36條之2採取的企業整體薪資給付總額計算公式，以及透過職類別薪資水準篩選基層員工的概念，無疑較日本立法例來的更為嚴謹。此外，相較於日本立法例所採比較增僱薪資給付額達法定數值之制度而言，我國以前後年度僱用員工變動值作比較基準，再以提升3成水準為概念，更細緻地考量到年度員工數增減對薪資費用計算的影響，並能客觀要求企業以自身前後年度薪資給付水準加以比較，而非以單一法定公告值衡量全體納稅義務人。 最後，日本雖然在鼓勵企業增僱的稅捐優惠立法上，展現出單一個課題複數稅制的全景，然而相關學者對於複數立法所引起的高度複雜性亦有所批評[50]。繁複的稅捐優惠立法勢必存在納稅者權利保護的疑慮[51]，如何在稅法形成合理的非財政目的、設計適當的制度，無疑是外國法例借鑒時必須謹慎注意之處。 [1]行政院新聞傳播處，〈政院通過《中小企業發展條例》部分條文修正草案 優化並延長多項租稅優惠措施 強化中小企業營運環境〉，行政院，2024/04/18，https://www.ey.gov.tw/Page/9277F759E41CCD91/8a5ddf1d-83da-4ef9-9efc-dac17110db09 （最後瀏覽日：2024/07/21）。 [2]中小企業發展條例修正第35條、第36條之2、第40條修正草案總說明，頁4。 [3]方華香，〈量能課稅原則在憲法解釋與納稅者權利保護法之落實及修法研析〉，立法院法制局議題研析，https://www.ly.gov.tw/Pages/Detail.aspx?nodeid=6590&pid=85539（最後瀏覽日：2024/8/16）。 [4]廖欽福，〈能源稅的美麗新世界—環境能源公課之課徵及其憲法界線〉，《華岡法粹》，第64期，頁160（2018）；柯格鐘，〈談稅捐優惠作為鼓勵產業發展之手段〉，《全國律師》，頁2（2011）。 [5]另有學者將非財政目的在細分為經濟引導目的、公益目的。詳參柯格鐘，〈稅收之立法界線及其憲法上的當為要求－以德國稅捐法理論為基礎〉，收錄於台灣憲法解釋之理論與實務第七輯，中央研究院法律研究所，黃舒芃編，頁240-241（2010）。 [6]納稅者權利保護法第5條。 [7]鄭琪芳，〈台青失業率14% 亞洲4小龍最高〉，自由時報，2013/8/22；陳劍虹，〈臺灣近年薪資成長停滯原因探討及改善對策〉，《經濟研究年刊》，第13期，頁112（2013）。 [8]該次立法針對經濟景氣的變化提出了「景氣救生圈」的概念，希望在經濟景氣不佳的情況下，透過中小企業群體的投資能量加強經濟成長動力，詳參〈立法院第8屆第5會期經濟委員會第6次全體委員會議紀錄〉，《立法院公報》第103卷第26期，頁68（2014/04/09）。 [9]參照2014年中小企業發展條例第36條之2修正理由「為因應嚴峻之國際經濟情勢，增加投資、創造就業，立即加強經濟成長之動力並吸引外資來台，爰訂定本條文。」 [10]〈立法院第8屆第6會期經濟委員會第16次全體委員會議紀錄〉，《立法院公報》第103卷第51期，頁68（2014/09/12）、〈立法院第8屆第7會期經濟委員會第8次會議議案關係文書〉，第103卷第83期，頁272-273（2014/11/21），〈立法院第8屆第7會期經濟委員會第16次會議議案關係文書〉，《立法院公報》第104卷第4期，頁11（2015/01/06）。 [11]參照2015年中小企業發展條例第36條之2第3條修正理由。 [12]〈立法院第11屆第1會期經濟委員會第3次全體委員會議紀錄〉，立法院公報第113卷第12期，頁117。 [13]參照2024年中小企業發展條例第36條之2立法理由。 [14]參照2024年中小企業發展條例第36條之2可知，修正後第一項（即增僱薪資加成減除）係「為鼓勵中小企業延攬青年，提升高齡人力資源規劃意願」，修正後第二項（即加薪薪資加乘減除）則係「為鼓勵中小企業替員工加薪，協助其留用人才」，其核心旨趣可概括為攬才留才。 [15]至於加薪部分為廣泛對應繼續任職者的年齡，契合企業為加薪本係基於員工技、職能與業務績效，則無細分適用年齡資格。惟本文著重在增僱薪資費用稅捐優惠之比較研究，加薪稅制相關論述在此不另行開展。 [16]中小企業發展條例第36條之2第1項。 [17]行政院新聞傳播處，〈討一 中小企業發展條例_經濟部 懶人包〉，本院新聞，https://www.ey.gov.tw/File/EF46233500BEDDBD?A=C （最後瀏覽日：2024/7/25）。 [18]雖然中小企業發展條例第36條之2條文中並未論及勞動部職類別薪資，然參酌立法院第11屆第１會期財政委員會第11次會議紀錄中，經濟部曾就鼓勵中小企業為員工加薪子題說明，基層員工薪資範圍將配合職類別薪資調查結果修訂。詳參〈立法院第11屆第1會期財政委員會第11 次全體委員會議紀錄〉，《立法院公報》，第113卷第36期，頁57-58（2024/05/01）。 [19]從2014年中小企業發展條例第36條之2理由「新投資創立或增資擴展中小企業達一定金額且增僱一定人數」，或同條文2024年修正理由「為鼓勵中小企業延攬青年，提升高齡人力資源規劃意願」可知，文義上增加僱用人數應該是對應就業率，至於企業增僱員工後如何正向影響薪資水準則並不明確。 [20]中小企業增僱員工薪資費用加成減除辦法第4條第1項第5款。 [21]中小企業增僱員工薪資費用加成減除辦法第4條第4項。 [22]范文清，〈租稅優惠之研究〉，《月旦財經法雜誌》，第41期，頁143（2017）。 [23]舊租稅特別措施法第措法42の12の4。 [24]因此雇用促進稅制有時又稱所得擴大稅制。 [25]厚生勞動省，〈平成23年税制改正（租税特別措置）要望事項－雇用促進税制の創設等－〉，https://www.kantei.go.jp/jp/kakugikettei/2010/h23zeiseitaikou.pdf （最後瀏覽日：2024/8/2）。 [26]中西　涉，地方創生をめぐる経緯と取組の概要，参議院事務局立法と調査，頁5（2016）。 [27]租税特別措置法法第42條之12。 [28]內閣府，〈平成27年税制改正の大綱〉，https://www.cas.go.jp/jp/seisaku/kokudo_kyoujinka/sisakushu/pdf/pdf_38.pdf （最後瀏覽日：2024/7/22）。 [29]財務省，〈令和6年度税制改正要望事項－地方における企業拠点の強化を促進する税制措置の拡充及び延長－〉，https://www.mof.go.jp/tax_policy/tax_reform/outline/fy2024/request/cao/06y_cao_k.pdf　（最後瀏覽日：2024/7/22）；財務省，〈コロナ禍を踏まえた賃上げ及び投資の促進に係る税制の見直し（人材確保等促進税制）〉，令和3年稅制改正，https://www.mof.go.jp/tax_policy/publication/brochure/zeisei21/03.htm#a04　（最後瀏覽日：2024/8/2）。 [30]財務省，〈コロナ禍を踏まえた賃上げ及び投資の促進に係る税制の見直し（人材確保等促進税制）〉，令和3年稅制改正，https://www.mof.go.jp/tax_policy/publication/brochure/zeisei21/03.htm#a04　（最後瀏覽日：2024/7/25）；小竹義範，小竹義範，〈租税特別措置法等（法人税関係）の改正〉，《財務省令和3年度税制改正の解説》，頁508。https://www.soumu.go.jp/main_content/000724449.pdf （最後瀏覽日：2024/7/25）。 [31]地方據點強化稅制最初係配合日本「地方創生」政策所制定，然在令和6年的稅制文件中可知已有所調整。參小竹義範，〈租税特別措置法等（法人税関係）の改正〉，《財務省令和6年度税制改正の解説》，頁509。 [32]內閣府，〈地方活力向上地域等特定業務施設整備計画の運用に関するガイドライン〉，https://www.chisou.go.jp/tiiki/tiikisaisei/pdf/03guideline.pdf （最後瀏覽日：2024/8/5）。 [33]地方再生法第16條。 [34]包括地理條件、產業結構、市場規模、基礎設施條件。 [35]地方再生法第17條之2第1項、第2項。 [36]地方再生法第17條之2第5項。 [37]業務設施整備計畫與增僱認定相關者僅在於紀載員工人數，至於該計畫在如何撰寫地方經濟特性於業務移轉或擴張部分，則為其他稅制之核心與本文關注之增僱稅制無實質關聯，故不詳述。 [38]地方再生法第36條。 [39]租税特別措置法施行令第27條之11之3。 [40]內閣府，〈地方活力向上地域等特定業務施設整備計画の運用に関するガイドライン〉，https://www.chisou.go.jp/tiiki/tiikisaisei/pdf/03guideline.pdf （最後瀏覽日：2024/8/5）。 [41]国税庁，〈No.5926 地方活力向上地域等において雇用者の数が増加した場合の法人税額の特別控除〉，https://www.nta.go.jp/taxes/shiraberu/taxanswer/hojin/5926.htm （最後瀏覽日：2024/8/5）；內閣府地方創生推進事務局，〈地方拠点強化税制令和6年改訂〉，https://www.chisou.go.jp/tiiki/tiikisaisei/pdf/01pamphlet.pdf （最後瀏覽日：2024/7/26）。 [42]租税特別措置法施行令第27條第3項、第5項。 [43]租税特別措置法第42條之12第1項第2款。 [44]租税特別措置法第42條之12第5項第2款。 [45]投資要件分別為機械或設備金額達100萬日圓、器具或備品金額達30萬日圓、建築附屬物金額達60萬日圓擇一達成。 [46]経済産業省中小企業庁事業環境部，〈令和6年税制改正要望事項－中小企業向け賃上げ促進税制の拡充及び延長－〉，https://www.mof.go.jp/tax_policy/tax_reform/outline/fy2024/request/meti/06y_meti_k_24.pdf　（最後瀏覽日：2024/8/5）。 [47]第二次就業困境指的是相對於日本90年代末期經濟泡沫時期，企業規模萎縮伴隨勞動力需求大幅度下滑，當時卻正好迎來戰後嬰兒人口大學畢業，致使勞動供給過剩因而從勞動政策引發一連串社會與經濟問題的背景。參堀有喜衣、田上皓大、小杉礼子，〈就職氷河期世代のキャリアと意識〉，独立行政法人労働政策研究機構，頁1、頁115-116，https://www.jil.go.jp/institute/siryo/2024/documents/0272.pdf （最後瀏覽日：2024/8/13）。 [48]新進僱用員工係指依日本勞動基準法第107條第1項規定申報勞動名簿未滿一年支員工，先前受僱於關係企業或受控公司之員工不適用之，但受僱於子公司或分支機構之員工不在此限。參照。見経済産業省，〈「人材確保等促進税制」よくある御質問Q＆A集令和４年２月４日改訂版〉，https://www.meti.go.jp/policy/economy/jinzai/syotokukakudaisokushin/pdf/jinzaikakuhotousokushinzeisei20220204faq.pdf （最後瀏覽日：2024/7/18）。 [49]我國在已廢止之促進產業升級條例中，曾有超額扣抵之稅制立法，然在計算超額之對象上乃指同一筆投資（應納稅行為），與日本將薪資費用與教育訓練費用兩項不同投資行為整合，以對應稅法上非財政目的。 [50]藤谷武史，〈論拠としての「租税法律主義」―各国比較〉，《フィナンシャル・レビュー》，第129号，頁204（2020）。 [51]納稅者權利保護法第6條第1項規定，稅法或其他法律為特定政策所規定之租稅優惠，應明定實施年限並以達成合理之政策目的為限，不得過度。

淺談美國與日本遠距工作型態之營業秘密資訊管理 資訊工業策進會科技法律研究所 2022年05月18日 　　根據2021年5月日本總務省所公布之《遠距工作資安指引》第5版，近年來隨著科技的進步，遠距工作在全球越來越普及，過去將員工集中在特定辦公場所的工作型態更是因為COVID-19帶來的環境衝擊，使辦公的地點、時間更具有彈性，遠距工作模式成為後疫情時代的新生活常態。 　　因應資訊化時代，企業在推動遠距工作時，除業務效率考量外，更需注意資安風險的因應對策是否完備，例如員工使用私人電腦辦公時要如何確保其設備有足夠的防毒軟體保護、重要機密資訊是否會有外洩的風險等。 　　本文將聚焦在遠距工作型態中，因應網路資安管控、員工管理不足，所產生的營業秘密資訊外洩風險為核心議題，研析並彙整日本於2021年5月由日本總務省所公布之《遠距工作資安指引》第5版[1]，以及美國2022年3月針對與遠距工作相關判決Peoplestrategy v. Lively Emp. Servs.之案例[2]內容，藉此給予我國企業參考在遠距工作模式中應注意的營業秘密問題與因應對策。 壹、遠距工作之型態 　　遠距工作是指藉由資訊技術(ICT Information and Communication Technology)，達到靈活運用地點及時間之工作方式。以日本遠距工作的型態為例，依據業務執行的地點，可分為「居家辦公」、「衛星辦公室辦公」、「行動辦公」三種： 1.居家辦公：在居住地執行業務的工作方式。此方式因節省通勤時間，是一種有效兼顧工作與家庭生活的工作模式，適合如剛結束育嬰假而有照顧幼兒需求的員工。 2.衛星辦公室（Satellite Office）辦公：在居住地附近，或在通勤主要辦公室的沿途地點設置衛星辦公室。在達到縮短通勤時間的同時，可選擇優於居住地之環境執行業務，亦可在移動過程中完成工作，提高工作效率。 3.行動辦公：運用筆記型電腦辦公，自由選擇處理業務的地點。包含在渡假村、旅遊勝地一邊工作一邊休假之「工作渡假」也可歸類於此型態。 貳、遠距工作之風險及其對策 　　遠距工作時，企業內外部資訊的交換或存取都是透過網際網路執行，對於資安管理不足的企業來說，營業秘密資訊可能在網路流通的過程中受到惡意程式的攻擊，或是遠距工作的終端機、紀錄媒體所存入的資料有被竊取、遺失的風險。例如商務電子郵件詐欺（Business Email Compromise，簡稱BEC）之案例，以真實CEO之名義傳送假收購訊息，藉此取得其他公司之聯絡資訊。近年來BEC的攻擊途徑亦增加以財務部門等資安意識較薄弱的基層員工為攻擊對象的案例[3]。 　　由於員工在遠距工作時，常使用私人電腦或智慧型手機等終端機進行業務資料流通，若員工所持有的終端機資安風險有管控不佳的情況，即有可能被間接利用作為竊取企業營業秘密資訊之工具。例如2020年5月日本企業發生駭客從私人持有之終端機竊取員工登入企業内網的帳號密碼，再以此做為跳板，進入企業伺服器非法存取企業之營業秘密資訊，造成超過180家客戶受到影響[4]。 　　關於遠距工作網路資安的風險對策，在技術層面上，企業可使用防毒軟體或電子郵件系統的過濾功能，設定遠距工作之員工無法開啟含有惡意程式的檔案，或是透過雲端服務供應商代為控管存取資料之驗證機制，使遠距工作的過程中不用進入企業内網，可直接透過雲端讀取資訊。另外，建議企業將資訊依照重要程度作機密分級，並依據不同分級採取不同規格的保密措施。例如將資料分成「機密資訊」、「業務資訊」、「公開資訊」 三個等級[5]，屬營業秘密、顧客個資等機密資訊者，應採取如臉部特徵辨識、雙重密碼認證等較高規格的保密措施[6]。在內部制度面上，企業則可安排定期遠距工作資安教育訓練、將可疑網站或郵件資訊刊登在企業電子報、公告提醒員工近期資安狀況；甚至要求員工在連結企業内網或雲端資料庫時，須使用資安管理者指定的方法連結，未經許可不得變更設定。 　　除上述網路資安的風險外，員工管理問題對於企業推動遠距工作是否會導致營業秘密資訊洩漏有關鍵性的影響。因此，企業雇主與員工在簽訂保密協議時，雙方皆需要清楚了解營業秘密保護的標準。以美國紐澤西州Peoplestrategy v. Lively Emp. Servs.判決為例，營業秘密案件的裁判標準在於企業是否已採取合理保密措施[7]。如果企業已採取合理保密措施，而員工在知悉(或應該知悉)有以不正當手段獲得營業秘密之情事，則企業有權要求該員工承擔營業秘密被盜用之賠償責任[8]。在本案中，原告Peoplestrategy公司除了要求員工須簽屬保密協議外，同時有採取保護措施，禁止員工將公司資訊存入筆記型電腦，並且要求員工離職時返還公司所屬之機密資訊，並讀取資訊的過程中，系統會跳出顯示提醒員工有保密義務之通知，故法院認定原告有採取合理的保護措施，保護機密資訊的秘密性[9]。與之相反，Maxpower Corp. v. Abraham案例中，原告僅採取一項最基礎的保密措施(設置電腦設備讀取權限並要求輸入密碼)，且與其員工簽訂保密協議中缺乏強調保密之重要性、未設立離職返還資訊之程序，故法院認定原告所採取之管控機制未能達到合理保密措施[10]之有效性。 　　藉由前述兩件判決案例，企業在與員工簽屬保密協議時，應向員工揭露企業的營業秘密保密政策，並說明希望員工如何適當處理企業所屬的資訊，透過定期的教育訓練宣導機制，以及員工離職時再次提醒應盡之保密義務。理想上，企業應每年與員工確認保密協議內容是否有需要配合營運方向、遠距工作模式調整，例如員工因為遠距工作使工作時間、地點的自由度增加，是否會發生員工接觸或進一步與競爭對手合作的情形。對此，企業應該在保密協議中訂立禁止員工在企業任職期間出現洩露公司機密或為競爭對手工作之行為[11]。 參、結論 　　以上概要說明近期美國和日本針對遠距工作時最有可能產生營業秘密資訊管理風險的網路資安問題、員工管理問題。隨著後疫情時代發展，企業在推動遠距工作普及化的過程中，同時也面臨到營業秘密管控的問題，以下以四個面向給予企業建議的管控對策供參。 （一）教育宣導：企業可定期安排遠距工作資安教育訓練，教導員工如何識別釣魚網站、BEC等網路攻擊類型，並以企業電子報、公告提醒資安新聞。另外，規劃宣導企業營業秘密保密政策，使員工清楚應盡的保密義務，以及如何適當處理企業的資訊。 （二）營業秘密資訊管理：企業應依照資訊重要程度作機密分級，例如將資訊分成「機密資訊」、「業務資訊」、「公開資訊」三個等級，對於機密資訊採取如臉部特徵辨識、雙重密碼等較嚴謹的保密措施。其中屬於秘密性高的營業秘密資訊則採取較高程度的合理保密措施，以及對應其相關資料應審慎管理對應之權限、存取審核。 （三）員工管理：企業在最理想的狀況下，應每年與員工確認保密協議的約定內容是否有符合業務營運需求(例如遠距工作應執行的保密措施)，並確保員工知悉要如何有效履行其保密義務。要求員工在處理營業秘密資訊時，使用指定的方式連結企業内網或雲端資料庫、禁止員工在職期間或離職時，在未經許可之情況下持有企業的營業秘密資訊。 （四）環境設備管理：遠距工作時在技術管理上最重要的是持續更新資安防護軟體、防火牆等阻隔來自於外部的網路攻擊，避免直接進入到企業內部網站為原則。同時，需確認員工所持有的終端機是否有資安風險管控不佳的風險、以系統顯示提醒員工對於營業秘密資訊應盡的保密義務。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]〈遠距工作資安指引〉第5版，總務省，https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ (最後瀏覽日：2022/04/27）。 [2]Karol Corbin Walker, Krystle Nova and Reema Chandnani, Confidentiality Agreements, Trade Secrets and Working From Home, March 11, 2022, https://www.law.com/njlawjournal/2022/03/11/confidentiality-agreements-trade-secrets-and-working-from-home/ (last visited April 27, 2022). [3]同前揭註1，頁99。 [4]同前揭註1，頁103。 [5]同前揭註1，頁73。 [6] Amit Jaju ET CONTRIBUTORS, How to protect your trade secrets and confidential data, The Economic Times, March 05, 2022, https://economictimes.indiatimes.com/small-biz/security-tech/technology/how-to-protect-your-trade-secrets-and-confidential-data/articleshow/90010269.cms (last visited April 27, 2022). [7]Sun Dial Corp. v. Rideout, 16 N.J. 252, 260 (N.J. 1954). Karol Corbin Walker et al., supra note 2 at 3. [8]18 U.S.C.§1839(5). Karol Corbin Walker et al., supra note 2 at 3. [9]Peoplestrategy v. Lively Emp. Servs., No. 320CV02640BRMDEA, 2020 WL 7869214, at *5 (D.N.J. Aug. 28, 2020), reconsideration denied, No. 320CV02640BRMDEA, 2020 WL 7237930 (D.N.J. Dec. 9, 2020). Karol Corbin Walker et al., supra note 2 at 3. [10]Maxpower Corp. v. Abraham, 557 F. Supp. 2d 955, 961 (W.D. Wis. 2008) Karol Corbin Walker et al., supra note 2 at 3. [11]Megan Redmond, A Trade Secret Storm Looms: Six Steps to Take Now, JDSUPRA, March 07, 2022, https://www.jdsupra.com/legalnews/a-trade-secret-storm-looms-six-steps-to-6317786/ (last visited April 27, 2022).

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).