個資檔案遍地開花 資安人難以擺脫的惡夢

過完了年，新年度的工作又開始積極展開。除了例行性的權限清查外，又配合個資的專案，開始要清理網路磁碟機。說正經的，這也是以往一直不願意去面對的痛。為了怕個人電腦留存太多檔案，就一直在鼓勵使用網路磁碟進行資料儲存，但使用量卻是急速增加。從公司的形象影音檔，到部門旅遊的照片，各式各樣五花八門的檔案全部都有，雖然也曾經不斷發出提醒，要大家注意只有與公務有關的檔案才放上去，無奈大家已經養成習慣，什麼檔案都往那邊擺，甚至變成個人電腦的備份場所。再加上這幾年公司組織一直在改變，部門間不斷在上演重組、合併的戲碼，每一次組織變動，就要重新規劃磁碟空間，舊的資料繼續留著，新的資料又加進來，要不是這次個資風險評估，發現網路磁碟裡面存放了太多的個人資料，已經變成公司個資管理的高風險區域，不然很可能繼續抱著鴕鳥心態不聞不問。

但要怎麼開始呢？權限清查當然是首要作業，雖說是各部門只能將檔案放在所屬部門的區域內，但部門一調動就有很多人同時擁有兩個部門的權限，剛開始權限沒收回來，後面再追就很困難。如果有些同仁還身跨分、子公司，那就真的不知道權限要不要刪除。權限處理完了就面臨重頭戲：「擺放的檔案內容」。業務單位說得很簡單，資安部門訂規則，超過期限的就全部刪除。真的要這樣執行了，抱怨電話就開始接不完，企劃單位說我們要看長期的趨勢，所以要從過去的歷史資料來推估，而且這兩年又在講Big Data，所以他們的檔案沒有期限的問題，全部都要保留。客服單位也跳腳，說理論上活動的檔案過期就可以刪除，但是常常客戶會打電話來問很久以前特定的活動，那些中獎名單雖然都是個資，但是如果找不到客戶之前中獎的紀錄，客戶除了開罵外，又會影響公司的業績，所以檔案也不能動。行政管理處說得更直接，就告訴你沒有人力去看這些檔案，資安部門要刪檔案可以，但不能影響到他們的業務，如果有需要，還是有可能要把刪除的檔案救回來。

甚至還有些部門就告訴你檔案已經自行清除過，部門主管也都簽名壓章了，但儲存空間和檔案數量完全沒有變動，很明顯就是在虛應故事，裡面的個資檔案還是存在，到時候稽核單位發現了缺失又是開在我們這。不管怎樣都有抱怨的聲音，認為公司管太多了，已經有那麼多資安政策了，現在連檔案也不讓大家存放。但無論如何還是要面對這些陳舊的包袱。看起來如果沒有其他更積極的作為，這樣的惡夢，每年還會不斷的重複再上演著。