https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

人事行政局掉四百多筆個資 個資保護別再拖了!

2010 / 10 / 11
吳依恂
人事行政局掉四百多筆個資 個資保護別再拖了!


日前有民眾向《蘋果日報》報料,只要Google關鍵字「p09身份證xls」就可以找到記載著457筆全國人事行政主管的名錄,在調查後,發現是6年前存放於中華電信代管主機裡一個目錄的舊檔案,該檔案亦被Google搜尋引擎保留於其Cache主機中,事發之後,人事局已將中華電信代管主機內的資料刪除,但Google方面仍有html版未移除(如圖)。




儘管這是一份舊資料,名單中的部分人員已退休或離職,但其資料表上呈現的是身分證字號,工作雖有年限,身分證號碼卻是終身有效。人事局資訊室主任陳邦正坦承,這的確是一個疏失,在去年將系統汰舊換新的時候,本應該徹底檢查、刪除舊資料。這也再一次突顯出委外管理的重要性,當廠商或系統更換時,更應該小心謹慎的進行變更。並且,根據新版個資法,發生個資外洩時應告知當事人,但目前在尚未公佈實行細則之際,似乎是一個尷尬的時刻,而人事局目前也尚未有明確的進一步動作。

陳邦正說,其實公部門之間的資料交換,都聽過加密再處理,帳號、密碼的處理也相當謹慎,要存取資料也都需要透過應用程式讀取憑證,所以在單純資訊系統資訊交換是比較沒問題的。只不過,有時資料也可能會被帶離辦公室「公事家辦」,當系統內的資料被轉換出來,變成PDF、Word、Excel檔時,家中電腦又如果裝有P2P軟體,就很可能會發生資料外洩風險,他認為文件管制也會是防範個資外洩的一個重要議題,但牽扯到人的問題,在執行面上就會有一定的難度。

美國政府早已嚴令禁止公務人員將資料帶回家。如果一定要把公事帶回家作,那麼就應該要投入更多、更完善的保護措施,否則就不應該允許將公務資料帶離辦公室,尤其是政府單位比起一般企業更握有民眾的眾多資料。

在新版個資法通過後,已有不少公務機關開始著手因應,找出可能含有個資的單位,進行清算盤點,甚至交叉比對,確保掌握個資的資料流,並且也制訂SOP流程,一旦不幸發生個資外洩事件,能夠積極主動的應變、通報。此外,還是有不少人認為個資法是資訊人員或法務人員的事,但個資往往存在於各項業務流程之中,若不是經過全盤考量、全組織的配合,光是資訊單位的努力亦是有限。根據了解,人事行政局承辦服務的業務資料目前就多達3,000多萬筆,要將這些過去累積的資料順利的進行整理盤點,顯見需要許多時間與人力,更應及早開始。