智財局個資外洩因委外控管有疏失

日前媒體報導經濟部智慧財產局「二手教科書網」1.6萬筆個資外洩事件，指出該站會員登入帳號的權限控管不嚴謹，可輕易取得管理者權限，並任意瀏覽會員個資，包括身分證字號、姓名、電話等。爆料民眾亦在知名論壇痛批政府單位對網站資安控管太過草率。然而深入了解此案背後原因，問題的根本在於政府單位業務承辦人在委外發包專案時，只要求委外廠商完成網站功能卻未能一併要求達到相關安全檢核。
根據消息指出，由於二手教科書網站是智財局的「智慧財產權法令宣導計畫  校園深耕宣導案」當中的一部份，由業務承辦單位對外發包，中小企業協會負責執行。由此案看來，網站個資外洩，顯然與委外發包作業流程疏失有關，承辦人員未能在需求規格書中要求相關安全檢測，在系統交付時也就沒去驗收。在事件發生後，業務承辦人員以及網站委外製作廠商均已被要求必須補強網站安全控管，同時將來在專案的需求規格書以及合約中也將列入相關要求以及條款。
此一問題相信在其他政府機關都有可能發生。再次突顯資訊安全不只是資訊單位的事，所有業務承辦人員都應接受資安訓練，必須了解現在網站可能面臨的個資外洩風險以及相關責任歸屬問題，以本案為例，二手書的交換應該不需要留會員的身分證字號，「不需要的資料不要拿」，一旦擁有的資料越多，責任越大。
請廠商架設網站容易，但要架設一個安全的網站則不輕鬆，各業務單位應視網站資料的重要性，在合理的預算下來要求相對的安控等級。此外，網站相關的專案牽涉資訊專業，承辦人也可在專案重要時點請資訊人員協助提供建議，以避免資安事件一再上演。