東森個資外洩 問題出在外部環節

上月，東森購物再次傳出個資外洩，由於已非第一次，因此引發網路爭相討論，也有媒體報導此次事件「疑似內部流出」。然而據瞭解，此次事件並不單純，警方正在調查偵辦中，此次資料雖非駭客外部入侵也非內部有心人士所流出，而是東森購物與外部廠商在供應鏈體系的某一環節中，資料遭到外洩。

供應鏈體繫上下游廠商相關環節眾多，包括金流、物流、貨源供應商等，但在金管會、信用卡發卡組織的安全要求下，由金流段所流出的可能性不大。因此，問題來源指向物流業者或貨源供應商。

跟據熟悉物流業者IT環境的人士指出，物流業在資訊網路平台架構上通常不夠先進，系統防護安全有相當大隱憂。當東森購物在與外部合作廠商進行資料交換時，資料出了門就成了問題所在。因此東森購物在外部管理上應再加把勁，應將資料安全納入合約規範或SLA當中。

除了應特別加強供應商管理之外，東森此例值得借鏡的另一點是，組織變動時對IT資產所帶來的影響。去年8月正值東森經營權異動之際，而新董座上台之後大幅度的人事調動，也因此對公司經營環境投下一大變數。消息來源指出，在核對過被公佈的8千筆個資後，有些資料並非東森的客戶交易資料。再加上，此次公佈個資販售的方式與過去大為不同，因此懷疑此次是與東森往來有心人士的報復舉動。

不管如何，此一事件已進入調查程序，然而對其他企業來說，客戶資料已經成為重要資產，企業任何的經營策略均應將其視為風險管理的重要一環。