又傳出內部員工作業疏失導致客戶個資外洩的事件,日前媒體報導,信義房屋因員工失誤,不慎外洩約5,000名求職者履歷資料,包括姓名、性別、出生年月日、聯絡電話等一覽無遺。
信義房屋進行徵才作業,日前針對未錄取的求職者發出E-mail通知,承辦人員卻不小心求職者履歷資料夾帶在E-mail裡寄出,範圍自2011年1月至今共5,000筆資料,總共寄出200多封,雖然事後已立即停止寄發,並緊急聯絡收到夾檔的求職者,請其刪掉相關檔案,但資料外洩事實已然造成。
目前尚未聽到主管機關對信義房屋作出懲處,但若依據新版個資法規範:每人每一事件新台幣500元以上2萬元以下來看,信義房屋可能的損害賠償金額為250萬至1億元,責任顯然不輕。而此次事件也突顯出信義房屋的兩個問題:第一、內部控管流程不夠嚴謹;第二、保留太多非必要的個資。
在E-mail寄出前若有自動檢查機制,禁止寄送含有個資的郵件,或限制個資寄送的筆數不能超過一定數量(畢竟5,000筆個資不是一個小數目),或許能避免這樣的疏失,至於第二點也是許多企業該去省思的問題,手上所擁有的個人資料真有保留必要性嗎?在5,000筆求職者資料當中一定有許多為「未錄取者」,這些沒有錄取的履歷資料為何需要保留?解決第一個問題,或許需要投入成本採購資安工具,但第二個問題卻沒有預算限制,企業只要肯花時間與人力就可以。
對企業來說,每多保留一筆個人資料,就是多一分外洩風險,在新版個資法還未正式上路之前,企業應該全盤檢視內部所擁有的個人資料,並評估保留的必要性,對於用不到、法令沒有規範必須保留的個人資料,就要儘速刪除,因應個資法方式很多,與其花大錢採購資安設備,不如先從不用成本、縮小保護範圍開始做起。