為疾管局喝采！首位勇於面對外洩問題的主管

英政府的個人資料安全保護不斷出包，接連弄丟儲有大筆民眾個人資料的光碟，搞到英國首相布朗出面道歉；而我國的衛生署疾病管制局，也在去年11月份出了個大紕漏，讓結核病患的名單，在網路上洩漏了出去…。
去年（2007）的11月21日，似乎成為英國政府在個人資料保護上最黑暗的一天！這天，英國政府公開承認，英國皇家稅務及海關總署（HMRC）搞丟了兩張儲存有2,500萬民眾個人資料的光碟，粗步估計將有高達725萬戶家庭受到波及，也等於讓全國6,000萬人口近半數民眾的敏感資料曝了光，堪稱英國史上最嚴重的個資外洩事件！
遺失的光碟內儲存了，英國家庭申請16歲以下兒童福利的相關資料，包含姓名、出生年月日、地址，甚至社會保險號碼與銀行帳戶等私密資料。憂心個人資料外洩可能引起的盜用、盜領等危機，讓英國大批民眾人心惶惶，因此，英國首相布朗除了親自下達旨令，要求資訊安全專家進駐入政府單位，檢查各會之作業流程以外，也被迫必須於國會報告上，為此事件向全國民眾慎重道歉！
英政府資料安全屢出包
追溯兩張光碟實際的遺失時間，其實早在英國10月的全國審計調查過程中，就已經弄丟了。該月18日，一位低階的稅務署官員在自行拷貝資料，並下載到光碟後，未依規範透過掛號寄出，就直接交付給未立案的郵遞公司寄送，過程中沒有做任何記錄，經過了半個多月之久，直到11月8日，因稅務署遲遲未收到光碟，才發現光碟丟了！然而，相關人員還拖延了三個星期之久，才向上級主管呈報光碟遺失的事實。英國財政大臣Alistair Darling於11月10日接獲消息，下令展開搜尋工作的時機，顯然為時已晚，眼見遲遲沒有兩片光碟的下落，Darling只好在11月20日向國會據實以報。
雖然英國皇家稅務及海關總署一再強調，根據警政單位的調查顯示，兩張光碟沒有落入不法之徒手中，或遭到作何詐欺等犯罪活動運用的跡象；然而，兩張記錄大批敏感資料的光碟，其實只以簡單的密碼作為防護措施，在光碟追不回來的情況下，可能造成的損失等於難以預測！而權責單位事後雖然坦承，這是「不該犯的錯誤」，但仍辯稱此事件與政策規範無關，甚至將所有問題推託給低階的基層人員。
在個人資料保護工作上，英國政府近來可以說是連連出包，首先，在去年9月份，英國皇家稅務及海關總署就曾經出過差錯，將壽險公司Standard Life共1.5萬名顧客的退休資料，交給不知名的第三方快遞公司寄送而遺失，該張光碟就已經沒有任何的加密保護；而就在英國皇家稅務及海關總署再度出包，搞丟二張兒童福利資料後不久，英國北愛爾蘭司機和汽車註冊局（DVLA）又犯了同樣的錯誤，也將儲存有6,000筆個人資料的光碟寄丟，儲存了超過七千輛汽車與六千多筆車主資料的光碟，是在寄往斯旺西總部時遺失的，光碟內有車主的姓名、地址、註冊年份、車型和顏色等資料，一錯再錯地，權責單位還是沒有將這些光碟加密！
疾管局第一時間面對漏洞
無獨有偶地，衛生署疾病管制局也在去年11月份，出了一個史上最大的資料外洩紕漏，將所列管之傳染性肺結核患者名單，在網路上洩漏了出去！外洩事件爆發後，疾管局長郭旭崧隨即決定對外說明並道歉，來扼止外界的恐慌與臆測，同時，也下令馬上關閉網路查詢功能，為資料外洩的危機止血。
從去年九月開始，疾管局就開始施行傳染性肺結核患者的搭機限制，為了方便患者查詢管制的相關資訊，才提供政府網際服務網(GSN)內的查詢系統給外部民眾使用，想不到，系統內的資料竟然也能透過一般網際網路看到。根據疾管局的官方統計，該事件的外洩資料包含了，953名結核病患的姓名、居住縣市等個人資料，研判資料應是從11月9日就開始外洩，曝光的時間大約有一個星期之久。
板橋地檢署一名檢察官罹患開放性肺結核的消息，由台北縣衛生局於11月15日公布在網站之後，就有某報社記者根據新聞稿內患者的年齡、在土城租屋等基本資料，循線查到這名檢察官的姓名，並在網站作搜尋動作，才意外發現疾管局的列管患者名單，竟然在網路上「全都漏了！」透過Google搜尋引擎，只要輸入患者姓名，就能查詢到身分證字號、居住縣市，及就醫日期等患者隱私。
疾病管制局於11月16日晚間8點5分，接獲該記者通知後，在郭旭崧的坐鎮指揮下，隨即於8時45分後將該份名單自網路移除，同時採取對外公開的危機處理態度；另一方面，則依據行政院資訊安全相關規定，成立緊急因應小組，並通報國家資通安全會報，此外，也向外尋求中央研究院資訊科學研究所研究員王大為的協助，共同展開資訊系統漏洞原因的追查。
16日晚間，疾管局在發現外洩漏洞後，疾管局長就不斷的和王大為討論，危機處理的最佳程序。「從事件發生開始，疾管局是徹夜在處理，一個晚上我們就通了二、三通的電話，」王大為表示，研擬而做出的處理決策，除了確立對外坦承說明、系統暫時停止提供服等決議之外，疾管局這次的危機處理措施，其實也在第一時間，就拿加州政府的個人資料保護法（The California Office of Privacy Protection Recommended Practices），做為應變程序的參考。
當晚，經過2個小時的緊急危機處理後，疾管局即於晚間10時40分主動對外說明，資訊外洩的情形，並聯繫Google移除庫存頁面，關閉伺服器進行檢修，尋找資料外洩的原因。「該查詢系統是由疾管局內部資訊人員所架設，基本上，疾管局網站登錄，必須要有密碼才能使用查詢功能，」王大為指出，經過團隊的調查，資料外洩的漏洞，很可能起因於系統軟體設計上瑕疵，導致具系統權限者在使用查詢功能時，為Google網站強大的搜尋功能擷取所造成，而是否有駭客或植入木馬程式等疑慮，截至目前，團隊則是仍持續查證中。