觀點

資料銷毀停看聽(上)企業資料銷毀盲點 缺乏使用年限與SOP

2012 / 09 / 04
廖珮君
資料銷毀停看聽(上)企業資料銷毀盲點  缺乏使用年限與SOP

新版個資法施行細則草案第9條,制定了11項安全維護措施,做為企業規劃個資保護機制的基礎,而資料銷毀雖然沒有在這11個項目中,卻是個資保護最重要、也最容易被忽略的一環。舉例來說,學校保健室通常會有學生的健康資料,這些資料在學生畢業時應該一併銷毀,之後再使用的機率非常小,但目前每10間學校裡,大概只有1~2間會在學生畢業時開放領回或銷毀,其餘多是繼續留存,這些留存下來的歷史資料,隨著時間累積愈來愈多,最後可能隨意堆放在倉庫或櫃子裡,沒有上鎖或任何防盜機制,形成資料保護的缺口。

從歷史上來看,企業因為資料銷毀過程中的疏失,導致資料外洩的案例比比皆是,從2010年至今短短3年間,媒體披露了至少7起事件(表1),其中不乏大型企業,範圍涵蓋醫療、產險、金融、電信…等,原因則不外乎:隨意置放未銷毀的機密文件、待銷毀文件在運輸過程中散落地面、誤將機密文件當成回收紙使用、硬碟報廢時未徹底清除資料…等。另外,英國電信公司曾經做過一個研究,他們從eBay上購買300顆中古硬碟,其中有34%儲存著機密資料,這些硬碟來自英國、美國、德國、法國、及澳洲等國家,顯見不重視資料銷毀程序,已成為全球企業的共同通病。

表1、因為銷毀疏失造成的資料外洩事件

時間 事件說明 原因
2012/ 2 某民眾向立委陳情表示,自光華商場採購了5~6顆中古硬碟,回家後發現這些硬碟不但沒有格式化,還存放著某家銀行與客戶往來的業務資料,資料筆數至少超過上萬筆。 硬碟未經碎紙機銷毀,直接報廢或交給回收廠。
2012/ 1 台灣產物保險公司約680張保單,散落在新北市三重區街道上,上面有客戶年籍資料,以及各式重要證件影本,還有外國人的護照資料。 資料在運輸過程中掉出來。
2011/ 12 榮總屏東分院將待銷毀的病歷,丟棄在垃圾回收場。 資料未經碎紙機銷毀,直接丟棄。
2011/ 9 亞太電信加盟服務中心遭投訴,將使用過的客戶紙本合約當成列印回收紙來使用。 員工訓練不足,未經確認就將合約當成回收紙來使用
2011/ 8 萬芳醫院誤將廢棄批價單當做便條紙,遭民眾檢舉,服務台提供的便條紙背面是另一名病患的就診資料,包括姓名、性別、年齡、體重、生日、看診日、及相關診斷與檢查結果。 員工作業疏忽,誤將應銷毀的廢棄文件歸為便條紙。
2010/ 6 前中信局申請開戶的文件,散落在台15線西濱快速道路14公里處,單據上有姓名、電話、身分字證號、印鑑及銀行帳戶等重要個資,估計至少上千張以上的文件散落在路邊。 資料在運輸過程中掉出來。
2010/ 6 新北市永和區崇愛中醫聯合診所流出近百筆處方箋和門診掛號費收據,且散落在新北市中和區四號公園內,雖然資料上的身分證字號沒有全數揭露,但姓名、生日、就診疾病與時間皆詳列其中。 資料未經碎紙機銷毀,直接交給回收車處理。

資料來源:《資安人》雜誌整理,2012/3

 

企業常見的資料銷毀問題

很多企業的資安工作總是做了前端忘了後端,建置了一個完善的文件管理系統,從資料的搜集、處理、利用、傳輸各階段都有嚴謹規範,像是存取管控、權限管理、Log記錄、資料使用原則…等,但是到了終止利用階段,卻沒有相對應的資料銷毀規範,再加上員工資安意識普遍不足,導致機密資料經常曝露於風險中。舉例來說,壽險公司常見廢棄要保單,在沒有明確規範下,要保單處理方式變成各壽險業務員自行決定,於是,放進碎紙機、隨意置放在桌面或茶水間、隨手撕成幾段丟到垃圾桶、或是扔進紙類回收箱…等各種狀況都有可能發生,另外,也曾聽過竹科某公司倡導勤儉美德,A4紙張若只有單面印刷,一律回收使用,在沒有分類的情況下,最後竟發生送給客戶的報價單背面印著成本分析表的糗事。

KPMG個資保護與數位鑑識小組顧問曾繼興認為,就紙本資料銷毀來看,企業常見的問題有以下三點:
1. 沒有制定資料使用年限、無法適時進行銷毀:即使是過期或組織內部暫時沒有利用價值的資料,其中仍然存在當事人的隱私與機敏內容,如果沒有制定控管措施及合理使用年限,無法適時銷毀資料,就會有被竊或流失的風險,甚至可能違反個資法第11條「特定目的消失後,需主動或依當事人請求進行刪除」的規範。
2. 自行銷毀資料的盲點:如果應銷毀的紙本資料數量龐大,又沒有採用委外銷毀服務,而是使用一般辦公室常見的碎紙機自行銷毀,在硬體規格與容量限制下,常有銷毀不全的情況發生,或是負責人在銷毀過程中穿插處理其他業務,未能即時銷毀資料的風險。
3. 沒有做好流程管控:在銷毀紙本資料過程中,容易出現人員或流程控管上的疏失,像上述提及負責人任意丟棄待回收的文件,或委外廠商流失應銷毀資料…等案例,皆是如此。

至於電子資料銷毀常見的問題則為:
1. IT設備送修或報廢前,未移除儲存設備中的電子資料,因此造成不當揭露。此外,很多企業會與外部廠商簽署維護合約,當硬碟故障時(如:壞軌),外部廠商直接更換新的硬碟,並帶走故障硬碟進行維修,倘若其中存有機密資料,很可能因此而外洩。
2. 電子資料的特性是容易複製並不易確實銷毀資料,一般的刪除(Delete)或格式化(Format)動作,其資料仍然會儲存於殘存空間(File Slack)、未配置空間(Unallocated Space)及交換檔(Swap File),可以用特殊技術來還原資料。
3. 新式的儲存媒體對於實體保護已進行強化,外觀的破壞並不足以將資料確實銷毀,所以實體破壞要做到什麼樣的程度,才能降低資料外洩風險,如:硬碟碟片穿孔或扭曲、磁帶是否需要粉碎…等,這是企業必須特別考量的點。

建立資料銷毀程序及留存記錄

企業在執行資料銷毀時,該如何制定標準作業程序?以立法院為例,其個資保護管理運作程序中,便訂有個人資料銷毀控管原則,主要規範為:第一、當個人資料檔案超過保存期限時,必須填寫申請表,經負責主管簽名核准後方可辦理銷毀。第二、紙本資料若屬大量銷毀,應指定專業廠商並派人陪同,若少量則應以碎紙機銷毀,若為電子檔案,應直接刪除並清除「資源回收桶」。

資料銷毀六大程序

根據檔案管理局所公布的機關檔案銷毀辦法,及ISO 27001資訊安全管理作業規範,曾繼興提出資料銷毀的六個程序、供企業參考:

第一、 編製檔案銷毀目錄。首先清查屆滿保存年限、特定目的消失及當事人請求刪除之檔案,並判定是否有相關法律規章定義其保存年限,例如各種會計憑證、報表之銷毀,是否需要依照會計法及其相關規定辦理。

第二、 審查檔案銷毀目錄。由業務、資訊…等相關權責單位審查銷毀目錄,確認是否有延長保存年限的必要性,並註記延長年限及理由。

第三、 制定銷毀計畫。當銷毀目錄經權責單位核准後,依據檔案形式與重要程度,擬定銷毀計畫與方式,並確認此種方式可確實銷毀資料、無法用任何方式復原。

第四、 審核銷毀目錄及計畫。依照企業內部作業流程,審核檔案銷毀目錄及計畫是否沒有問題。

第五、 執行檔案銷毀作業。指派相關人員到場見證銷毀作業,並在銷毀後,確認是否有資料尚未銷毀,若無,則請權責人員簽章以示負責。

第六、 彙編已核准銷毀的檔案目錄。將銷毀目錄與核準文件妥善保存,方便日後調閱。

企業在建置資料銷毀程序時,除了符合法律規定及內部作業流程外,也可參考國際資訊文件銷毀協會(National Association of Information Destruction, NAID)所訂定的道德規範及作業標準,確保資料銷毀作業流程及執行標準能夠與國際接軌。

留存銷毀記錄 因應舉證需求

此外,新版個資法將舉證責任移轉至企業身上,因此,無論紙本或電子資料的銷毀過程,都必須詳細紀錄銷毀流程及方式,以因應未來可能的舉證需求。曾繼興表示,從上述作業程序來看,企業可留存以下3種資料作為未來的呈堂證物:
1. 銷毀目錄及計畫,需包含檔案編號、儲存設備編號、個資檔案名稱、銷毀數量、銷毀時間\地點\方法…等,若是電子資料之軌跡資料則需紀錄是否執行刪除之功能。
2. 相關權責審查人員的名單,以及其在銷毀紀錄上的簽章。
3. 針對敏感性資料,可搭配全程錄影記錄銷毀流程及方式。

BSI台灣總經理蒲樹盛提醒企業,銷毀流程監督者最好是稽核人員或中立第三人,不能是個人資料的保管者,倘若委外進行銷毀資料的工作,則需加上委外廠商的簽名。精誠資訊資安顧問林文腕則認為,個資銷毀紀錄最好文字與影像兼具,才能確保資料已經被銷毀。

企業當務之急 確認資料保存年限

除了思考如何留存記錄外,企業目前最重要的工作是確認個資檔案保存年限,立法院高級分析師梁雯璍認為,企業第一步是清查組織內所擁有的個資檔案,接下來就是制定資料保存年限,並製成「個人資料檔案保存期限表」,刪除及銷毀所有超過保存年限的資料,未來則透過定期稽核的方式,確保個資管理者已落實資料刪除與銷毀程序。

當然,資料保存年限並非無限上綱,必須配合法律規範來決定,否則可能會有違法風險,以香港恆生銀行為例,其客戶破產資料原本為無限期保留,後來因為IT技術限制而縮短至99年,在2011年遭民眾投訴認為保存期限過長,經香港個人資料私隱專員公署(PCPD)調查後,恆生銀行最終同意將破產資料保存年限縮短為8年,並承諾在2個月內刪除及銷毀保存超過8年的破產資料。

恆生銀行的例子,其實反應出台灣多數企業主的心態,個人資料儲存在資料庫或檔案室裡,從來不去檢視是否還會使用,即便是好多年未曾用過的陳舊資料也不敢隨意刪除,一來是不知道能不能刪除,二來則擔心以後可能還用得到,實際上當然是永遠都用不到。企業必須體認到一個事實,保存期限愈久、資料外洩與違法風險也會跟著拉高,如何制定資料保存年限,使其兼顧使用現況與合法性,是企業現今最重要的課題。

新版個資法即將上路,企業若不當使用個資或沒有妥善保護造成資料外洩,很有可能得付出高額的損害賠償金,且金額多寡是以受害當事人的數量為單位來計算,換言之,企業所擁有的個人資料筆數愈多、範圍愈大,風險相對更高,而降低風險最簡單的方式,就是定期刪除與銷毀資料,從確認資料保存年限、建立資料銷毀程序、留存銷毀記錄、到定期稽核,確認企業手中只保留必要且合法的個人資料。至於資料銷毀方式,以及如何評比提供服務\產品的廠商,《資安人》85期將有深入介紹。