個人資料保護法通過後,引起各界一陣嘩然,高達新台幣二億元的賠償上限,讓許多企業不得不關注這部法案,並重視資訊安全。儘管母法已經制定,然而企業究竟該如何遵循?該優先採取哪些因應措施?
目前個資法施行細則修正重點包含:
1.兼顧個資保護與合理利用;
2.明訂委託人對受託人適當的監督;
3.界定醫療、基因、健康檢查的概念定義;
4.界定當事人自行公開的定義;
5.告知方式;
6.適當安全維護措施定義。
其中,最受資安從業人員關注的就是-何謂適當安全維護措施。
法務部法律事務司科長黃荷婷指出,在施行細則將規定非公務機關的善良管理人注意義務,以及明訂安全維護事項,包括:
(1) 成立管理組織,配置相當資源。
(2) 界定個人資料之範圍。
(3) 個人資料之風險評估及管理機制。
(4) 事故之預防、通報及應變機制。
(5) 個人資料蒐集、處理及利用之內部管理程序。
(6) 資料安全管理及人員管理。
(7) 認知宣導及教育訓練。
(8) 設備安全管理。
(9) 資料安全稽核機制。
(10) 必要之使用記錄、軌跡資料及證據之保存。
(11) 個人資料安全維護之整體持續改善。
其中的第1、2、5、6、7、8項,及部分第9、10、11項,在ISMS的範疇內都有涵蓋到,不過ISMS仍然只是一個基礎,針對第3、4或法條的其他部分遵循,企業仍然有許多工作要作。因此若企業當初在建置資訊安全管理系統(ISMS)時,涵蓋到個人資料的系統範疇,可能不需要從頭來過。跟ISMS的範圍來比,由於安全維護措施對於個資範圍有直接的界定,因此我們可了解到,只要有個資存放的系統、設備便可被視為高風險區域。
另外除了針對前述11點內容做比較詳細的規範,針對母法中有關個資的蒐集/處理/利用的規定,以及委外管理的要求,企業也應做為法規遵循及個資保護的參考。
草案雖已明確列出安全管理措施的大方向,但並又不強制要求執行方式,就像規定要做帳號、密碼管理,但並不限制管理方式,以提供企業兼顧現行資安作業的彈性。舉例來說,上述第6點與第8點談到,企業應該建立資料安全管理、人員管理、設備安全管理的機制,在「個人資料檔案安全維護計畫」標準草案中,除了這3點之外,還增列了作業管理項目,並逐一列出這幾點該有的安全管理措施。
一、 人員管理:
首先,企業需先了解業務流程中,哪些部份可能會蒐集、處理及利用個人資料,並且,負責該業務流程的人是誰?再來,就是針對這些相關的人設定權限控管,依照其職務的角色、內容等,來設定系統存取權限,並且簽署保密協定,以確實擔負起保密義務。這些動作,是針對作業人員的管理機制,避免人員接觸到非職務範圍內的個人資料。
舉例來說,在醫療體系裡,在院內經手病患資料的人太多,從門診醫師、跟診護士、藥劑師到檢查室等都有可能,而且這些接觸大多還都屬於合法行為,所以要防止院內人士洩露資料其實不容易,只能透過教育及稽核制度進行管控。
「為什麼這些廠商會知道我的電話?」、「為什麼廠商會知道我有購買需求?」許多懷孕婦女都會有這樣的疑問,在醫院做完產檢後,回家就接到尿布、童書、奶粉等嬰兒用品廠商的電話,也或者是在生產完之後才接到,由於外洩的資料量並不大,極有可能是醫院內部員工所為。對此,台大醫院、台北附醫、嘉基醫院等三家醫療院所資訊室主任皆不否認,但也強調已在規劃管控措施,避免內部員工外洩病患資料,台北附醫選擇透過DLP落實管理制度,而台大醫院與嘉基醫院則著重於應用稽核制度進行管控。
台大醫院自2004年開始仿美國AHIMA模式,每年舉辦「病歷隱私保護宣導週」活動,取名為「小密封運動」,藉此強化醫院員工對病人隱私權的尊重及病人病情資訊之保密責任,尚榮基指出,病人隱私涵蓋範圍廣,近年來小密封運動的主題特別強調資訊安全這一塊,就是希望建立員工的資安意識。另一方面再配合內部稽核制度來保護病人隱私,由IT部門與病歷管理室擔任稽核人員,定期檢查員工的使用行為有無異常,由於Log資料很多,稽核人員採用抽查方式,由員工說明存取行為和業務職掌的相關性,這種做法可以讓員工明瞭任何的使用行為都會留下記錄,在使用病人資料時就會特別小心,降低洩露病患資料的風險。嘉基醫院也透過病人申訴窗口主動調查,當病患懷疑醫院洩露個資時,可以向此窗口工作人員反應,醫院再進一步調查哪些員工接觸過該名病患的資料,逐一請其說明,甚至當反應個資外洩的病患數量較多時,也可以利用交叉比對的方式,找出最有嫌疑者做進一步調查,如果查證屬實就予以懲處。
二、 作業管理 :
從制定可攜式儲存媒體的使用規範、適當的資料加密或遮罩機制、確保個資傳輸安全性與收件者身份正確性、謹慎保管個人資料檔案的備份、定期進行備份資料的測試還原、在報廢存放個資的媒體前,
應確實刪除其中的資料(或以物理方式破壞)、妥善保管作業程序中使用到的密碼等,諸多作為,目的都是要確保作業程序的安全,這些作為,便是指企業在蒐集、處理及利用個人資料時,應該要制定的相關管理機制。
從電子商務產業的例子來看,例如很多網路商店業者在資安意識不足,所以就會導致內部有很多不安全的作業程序,Payeasy資訊服務處系統服務部經理侯冠宇就指出,最常見的情況是將帳號密碼寫在桌面或白板上,再不然就是同事間互相傳遞,店舖支援部部長陳青森則說,這一來為求作業方便,二來則是業主根本沒有想到可能有人會竊取客戶個資謀利,導致讓員工共用一個帳號密碼變成常態。另外,像是網路銷售講的是速度戰與曝光量,所以開店通路求廣求多,業者就會同時在不同的平台上開店,再向外部採購便宜的進銷存系統,要求消費者在平店下單後,再到進銷存系統登打訂單與配送資訊。更甚者,會自行架設購物網站,這時,系統的委外開發,自然又是另外一個委外管理的風險問題,畢竟對中小企業來說,系統能用最重要,安全品質則又是另外一回事了
三、 物理環境管理 :
在這邊,物理環境指的是實體作業環境,像是機房或辦公室,應該避免讓不相關的作業人員進出,因此企業應視作業內容及環境特性,實施必要的門禁管理或安全監控等機制,至於作業環境內所使用的實體設備也要妥善維護與控管,如果是保管個資儲存媒介的場所,更要建置防災設備,以免個資因為意外災害而毀損。大致上可以分做:
實體作業環境(機房、辦公室)控管-對紙本資料與文件的控管,包括審核發行、定期銷毀與訂定存取權限。
門禁管理/安全監控-建立門禁管制系統、監視錄影,管制及記錄授權進出人員。
實體設備維護、控管-維持電腦設備營運正常不中斷、不斷電等,定期保養測試。
建置防災設備-依規定保持溫度、溼度,並且選擇適當防火建材並應準備消防滅火器。若是電腦主機室,應設置氣體式滅火器、自動滅火警報系統,避免因救災而導致電腦設備損害。
備援回復-存放備份磁帶的控管,於使用前標示啟用日期、記錄年限,並存放於控制溫濕度之磁帶存放櫃,確實上鎖保存。並且確保資料運送時達到防竊保護,包括確實登記攜出入日期、時間、運送人員及備份磁帶捲數及組號,維持其完整性。
銷毀作業-若有實體資料需銷毀,則應遵守程序,銷毀需經簽核並由特定人員全程監看搬運銷毀作業。
四、 技術管理
這是指企業在利用電腦或系統,來蒐集、處理或利用個人資料時,所應採取的管控措施,包括有:
1. 建立身份認證機制,辨識與控管有存取權限者的身份;
2. 建立系統存取權限管控機制,以作業必須性為要求;
3. 針對儲存個人資料的系統,應導入適當的資安設備,例如:防火牆、路由器…等,並定期調校設定值,避免無權限的存取行為;
4. 嚴格管控應用程式對個人資料的存取行為;
5. 定期偵測惡意程式與修補系統漏洞,降低對作業系統所造成的資安威脅;
6. 管制端點電腦安裝檔案分享軟體;
7. 新系統或新功能在測試時,如果需要使用個人資料,應制訂相關的申請程序;
8. 資訊系統變更設計時,須再次確認安全等級是否維持不變;
9. 定期檢查系統使用狀況與個人資料存取情形。
舉醫療資訊系統的例子來說,由於基於病人隱私考量,所以資料多限制只能在院內環境使用,駭客從外部攻擊並不容易,更何況就算是駭客入侵,頂多只是單點單家醫院被攻破,不致於短期內、大規模地入侵每一家醫院,所以問題的關鍵就在於網路掛號系統。網路掛號系統基於便民考量,查詢機制通常不會太嚴格,只要輸入幾個簡單地身分識別資訊,像是姓名、身分證字號或生日,就能查詢掛號資訊,舉例來說,台北附醫早期的網路掛號系統,只要輸入身分證字號和姓名就可以查詢資料,而中國醫藥大學附設醫院,初診查詢只要輸入身份證字號,複診查詢則增加生日欄位,高雄醫學大學附設中和紀念醫院只要輸入身份證字號就可以查詢,嘉義基督教醫院資訊室主任馬榮隆說,「網路掛號系統應該是醫院目前惟一對外服務的系統,也是最容易有漏洞的地方」。
台北醫學大學附設醫院資訊室主任謝逸中表示,之前曾經連續二個禮拜接獲民眾投訴,指出接到自稱台北附醫工作人員的詐騙電話,經過調查發現院內資訊系統並沒有駭客入侵的跡象,反而是網路掛號系統在深夜時段出現大量查詢記錄,原來,詐騙集團在黑市買到個人資料後,利用機器人程式登入網路掛號系統,查詢哪些人有在此預約掛號,再根據掛號資料進行詐騙,為杜絕機器人程式,台北附醫增加了圖片驗證碼機制,之後就再沒有接獲民眾投訴電話。
除了台北附醫外,目前超過半數以上的醫院,皆在網路掛號系統中增加圖片或數字驗證碼機制,目的就是要避免詐騙集團的機器人程式攻擊,其中,有二家的做法比較特別,馬偕醫院在圖片或數字驗證機制外,另外提供了網路密碼機制,民眾可持健保IC卡至馬偕醫院的自動掛號機設定網路密碼,日後若要網路掛號、查詢或取消,必須輸入此組密碼,降低掛號資料被他人得知的風險,但這個欄位並非一定要填寫,如果沒有設定網路密碼者就不必輸入,至於佛教慈濟綜合醫院則是用數學運算式進行驗證,例如:5+3、4-1等,要求使用者輸入運算結果,相較一般單純辨識英文字母或數字的驗證機制來看,顯然又安全一點。