個資法正式上路,企業開始陸續著手進行相關系統、設備的升級或更新,但企業的焦點往往都放在「數位資安」,卻忽略了「紙本文件」與複合機文件輸出也跟資料外洩息息相關!
新修正的個資法適用範圍已擴及紙本資料,當紙本文件上有個人資料例如客戶個人資料、員工人事資料時,若沒有制定複印、傳真或傳送的控管機制,很容易造成個資外洩,進而違反個資法。然而這些人為操作的程序,往往是最難管控的環節!直到最近也仍然不時傳出有銀行信用卡客戶申請文件大量外洩的新聞。
企業紙本文件控管頻頻出包
紙本文件本身對於企業的管理上本來就有較高的困難度,除非使用特殊防偽紙張或者防偽機制,否則很難防止文件被有心人士竊取盜用。紙本的文件,多數企業會盡力做到「相對」安全,卻無法保證「絕對」安全,因此,建議企業除了在文件輸出的前端進行有效管理之外,更應先建立文件機密分級管理制度,以降低文件外洩的風險。
此外,辦公室複合機是很容易被忽視的一環,目前市面上的多功能複合機皆以全功能(影印、列印、掃描與傳真)為主流,換句話說,文件除了可以透過多功能複合機輸出外,更有可能透過傳真或掃描而流傳到企業外部,目前已經有企業逐漸意識到這點的重要性,但多數企業不知道有甚麼解決方案而導致遲遲沒有著手處理。另一個造成企業不容易控管紙本文件的部分就是難以舉證。如果發現可疑文件被輸出至企業外部,但企業卻無法舉證出「誰(Who)」、「何時(When)」甚至「文件內容(What)」,也因為沒有這些資訊,企業也很難有依據來建立兼顧便利與管理的相關辦法。
紙本文件控管的建議
然而現在未遵守個資法規定者不僅有行政或刑事責任,更可能面臨高額的民事賠償。依據個資法的規定,民事賠償最高可達新台幣兩億元,對於違反個資法的企業可謂為相當大的衝擊;此外,個資法中對於舉證責任的倒置,企業必須藉由證據來說明對於個人資料的蒐集、處理、利用等過程中,保存個人資料者並無故意或過失,而非一般由原告對於被告的故意過失負舉證責任。因此,建議企業應從前端、中端與後端三個環節做好紙本文件的管控:
前端管理_輸出權限認證管理
在辦公室的影印間中,經常看到複合機或者桌邊擺放著沒有人來領取的文件,當這些文件含有個資相關訊息或者企業機密時,資訊安全就會令企業堪慮。
因此,企業應規劃具有權限認證功能的輸出管理解決方案,例如能直接以公司AD帳號進行輸出管理,甚至可整合現行員工識別卡進行支援感應取件的安全使用模式,當員工使用感應卡並確認文件輸出的重要性與正確性後,即刻輸出文件,以確保員工能取到文件,減少列印文件被誤取的風險;同時也可以降低錯誤文件輸出的比率。
中端管理_輸出文件使用限制管理
除了做好輸出者身分管理外,對於輸出的文件,企業常見的模式是加上安全浮水印,讓有心人士拿到文件進行其他動作時,無法看清複印文件。
但企業應強化紙本文件本身的安全性,例如讓非授權者無法進行文件傳送、影印、傳真等紙本文件鎖的功能;此外,若發現可疑文件被輸出時,只要透過文件的一小部分的紙張,立即就能辨識出該文件是透過哪一台複合機所輸出,進而找出文件輸出的源頭與文件完整資訊。
後端管理_複合機使用管理
一般來說,企業會透過列印伺服器來管理列印工作,但是透過複合機所進行的影印、傳真、掃描等各項工作,卻無從管理或得知資訊。若無法確切掌握Who(使用者)、When(日期時間)、What(文件內容)、How(文件處理的方式)等詳細資料,若真的發生個資外洩爭訟時,企業將難以對於真正的犯罪行為人提出相關證據以進行求償。
因此對企業而言,較完善的做法應該是讓所有透過複合機所進行的工作,都能透過影像、文字存檔,以便管理者做好更完整的控管。
紙本文件的控管過去企業較為疏忽,但現在應全面審視含有個資的紙本文件搜集、處理流程,以降低違法風險。
(本文作者為Canon 商務影像解決方案事業處企劃部副主任)