專欄／個資外泄不得已　違規者成冤大頭

文／個資法專家新版個資法通過後，資料保護範圍不再只是電腦資料，紙本資料已成爲不論是學校、政府或中小企業的最大隱憂。高市環保局寄送違反《廢棄物清理法》罰單，若當事人行蹤、住所不明未收到，姓名、住址等個人資料都將會被公開展示；此外高市衛生局執行《菸害防治法》，若受處分人行蹤不明，裁處書無法送達，也會公告當事人姓名、身分證字號後4碼，有民衆質疑恐觸犯《個人資料保護法》。環保局表示，因罰單無法送達，不得已才公告個資。不論是不是不得已，此事件已反應出了政府對於紙本文件保護的漏洞，以及個資防護被忽略的程度。安全維護必要措施：PDCA規畫、執行、稽覈、改善個資的防護非一蹴可成，必須要經過一連串的規劃並執行以後，才能確保在個資的防護上到達一定的水準。機關如果能在發生個資外泄的事件而面對損害賠償訴訟時，對法官證明自己已經採取了PDCA(規畫、執行、稽覈、改善) 的程序、對個資文件的保護措施也都有效執行，即可免責；若無法證明，只要造成個資外泄，整個機關必須負責賠償，以每人每次泄露500元至20,000元不等，最高可達2億元。而個資管理人也將連帶處以與公司同樣金額之「行政罰鍰」。PDCA在個資法的適用上，臺灣 BSI 總經理則更進一步的解釋，讓企業可以引用做爲部屬個資保護的入門 SOP ：1.「規畫」：制訂個資保護政策、設立專門組織、明訂個資存取控管程序與方法。

2.「執行」：進行個資分類盤點與保護程序、落實個資保護宣導與教育訓練。

3.「稽覈」和「改善」：加強個資安全監控與檢視、提高個資外泄事件反應能力、 重新審視與委外廠商的權利和義務以及遵守法規並落實內部稽覈機制。資安專家翁浩正表示：「日本曾經調查資料泄露的管道，前三名分別是紙本、電腦及可攜式媒體，其中又以紙本資料所佔比重最高，進一步追究紙本資料遺失的原因，大多是因爲多爲收據（或類似證明文件）處理不當，及影印資料遺失。紙本與數位資料相比，保密措施顯然是鬆散許多。一般人如果沒有駭客技術，很難取走數位資料，但紙本文件可能只是隨意存放在鐵櫃或木櫃裡，不需要太複雜的技術就能輕易取走，若不做好PDCA與軌跡資料的稽覈，或將紙本文件數位化，再利用DLP/DRM資料外泄防制來設定文件權限與金鑰，紙本文件將會成爲資料保管一大缺口。畢竟紙本資料不比數位資料，不論是政府機關或是中小企業甚至是學校單位，唯有設好嚴格管理機制才能避免資料外泄風險。」

資料來源: DevCore http://dev-core.net/