iThome

對於資料的保護,一直以來都是企業重視的問題。在高度電子化的現代,為了防範資料外洩,企業IT部門通常會考量安裝防火牆、使用防毒軟體等措施,或是針對電子郵件、雲端網路服務與即時通訊軟體加以限制,避免將機密資料傳送出去,甚至添購文件安全控管系統,以及專屬的資料外洩防護設備。

然而無紙化的風潮,提倡了很多年,並沒有讓大家因此不用印表機和影印機,因此,回過頭來看,紙本文件所造成的資安問題,也是企業容易忽略的問題,尤其是去年新版個人資料保護法在立法院三讀通過後,特別擴大保護對象、加重刑責,不管是紙本或電子檔案都在保護範圍內,紙本個資防護也成為企業近年不可再輕忽的問題。

舉例來說,過去,為了避免資源浪費並考量成本問題,加上環保意識的抬頭,多數企業都有採用只列印1頁的紙張回收再利用的作法,也就是將這些回收紙張當作列印紙或便條紙來使用,以減少紙張使用量,企圖減少碳排放量與原木砍伐速度。

這種作法看似節省成本、環保,但一直以來都有一些問題,例如回收紙容易導致印表機卡紙,造成設備損耗,以及讓其他人看到不該看的內容,而導致機密外洩的安全問題。部分大型企業針對內部稽核與內部控管相當嚴格,但多數中小企業對於這類問題並沒有太多重視,面對新版個資法的要求,對於與個人資料保護的要求更高,不論你的企業規模多小,IT預算再少,都勢必需要做出更符合要求的應對措施。

相關洩密新聞事件不斷,提醒各企業應加快腳步做好控管

在前陣子的新聞中,已有不少這樣的案例發生,像是8月萬芳醫院發生將病歷當便條紙的錯誤,被民眾檢舉出而上了各大報的新聞。該醫院服務臺所提供的便條紙背面,居然是其他病患的就診資料,這樣的疏失也讓其他看診的病患擔心,自己的個人資料、診斷報告,是否這樣輕易的被他人獲取,一不小心,是否可能會被有心人士利用、盜賣,甚至有被要脅的可能性。如果是名人的病歷資料外洩,可能會造成不可預期的影響,像是過去蘋果執行長賈伯斯的病情就不小心洩漏出來,而造成外界對蘋果股價及營運面缺乏信心。

除了上述的新聞,我們也看到政府對某些產業內的流程也提出警告,例如在行政院金融監督管理委員會銀行局的官方網站上,也可以看到近期有多起紙本文件管理上的人為疏失,遭到銀行局糾正,光是今年下半年7、8月份,就已經有4起這樣的案例。

舉例來說,銀行局8月所裁處的事件中,臺灣中小企業銀行曾因辦理貸款業務,將原供授信內部審核的資料,以回收紙張影印存檔,該資料背面印有其他客戶資料而未察覺,便是同樣明顯的例子,對於回收紙沒有做好確實的控管。

在這些最近的裁處案例中,還有些案例則顯示出銀行內部管理措施,並未能有效防範從業人員不慎或不當使用客戶資料。像是同月中,另一家銀行發生過提供客戶取款憑條資料影本時,不慎同時印出其他存戶存款憑條資料的狀況,也有銀行前行員將客戶往來資料私自影印留存不當使用,以及銀行因遺失對保文件,而造成相關交換作業流程有缺失,這些案例都顯示出紙本文件管控與客戶資料保護上的問題。

對於多數企業來說,由於目前紙本文件的需求仍是無法避免的行政流程,且紙本文件的管理難度相當大,不斷強調網路安全的今天,對於實體文件的安全管控似乎有些鬆懈,加上新版個資法即將上路,以往的作法是否需要調整,這也是企業應該持續思考的問題。

層出不窮的案例,也讓人不禁擔心,目前各企業的紙本文件管理上,似乎仍有不足之處,除了上面所發生的案例,是否還有更多外洩可能性是沒有被發現的?

有些公司也開始針對這樣的問題趕緊提出因應辦法,例如銀行業,畢竟同業中有違反規定的情況發生,部分銀行檢視自身內部作業流程,也發現紙本資料未妥善保管、銷毀,他們為了避免資料外洩的可能性,最近已發布停止使用回收紙,請公司同仁自行處理銷毀印有客戶資料的文件,並且一定要於碎紙機銷毀。

回收紙的背面真的不能用嗎?

這些狀況令人想到一本書《影印紙的背面不要用》,它是3年前的一本翻譯書,這個異於日常習慣的議題,當時確實吸引住一些讀者的注意力,也出現在誠品、金石堂、博客來書店的排行榜上,雖然這本書主要是在談論「成本控制」,也值得我們去更深入探討這樣的問題。

將印過單面的A4紙張,重新當成回收紙再印,乍看之下是節省資源。但實際上這麼做有很多隱形成本,像是需要花人力分可重複利用與不可利用、去除訂書針;擺放回收紙於影印機時,必須搞清楚正反面的擺放,放錯面又會造成工作流程更不順暢;印出後由於兩面都有內容,可能會出現不易分辨的狀況;如果分類有疏忽時,可能被他人看到機密內容;若有訂書針未拆除乾淨、紙張不平整,而有可能會容易卡紙,甚至造成機器損壞等情況。

這些作法,也許一直都是中小企業中的安全死角,容易被人所忽視,雖然回收紙再利用的作法,表面上可以減少資源的浪費,但為了環保也不能忽略控管,企業必須有相關的文件管理措施及銷毀流程。

商業機密與個資保護是防護重點

一旦企業內部發生機密外洩的情事,不僅會造成企業名譽損失,商業機密的外洩,更有可能帶給企業的相當致命的打擊,造成無法估計的損失。

企業除了保護商業機密資訊,即將公布的個資法施行細則,也讓個人資料保護成為多數企業必須關心的議題。為了降低營運風險,企業必須重視資料外洩所帶來的損失及應付的責任,對於風險法規的遵循,也能避免被處以可觀的罰鍰。

舉例來說,當違反個人資料保護的情況發生時,當事人可向違反個資法的企業求償,每人每次5百元~2萬元,合計最高求償更高到2億元。另外,對於謀利的違法行為,刑事責任則可求處5年以下有期徒刑併科100萬元罰金。

依據新版個資法規,一般人與企業都需要遵守個資法的規範,不論電腦中的數位資料,或者是寫在紙張上的個人資料,都是個資保護對象。面對這樣的改變,企業對於紙本文件的安全控管方面,應該積極遵循法規的要求,同時也能幫助組織本身降低經營風險,並建立良好的公眾形象。

雖然個資法施行細則及相關法規命令的修訂工作,有所延宕,不過金融單位對於法規遵循的腳步,向來進行得比較快,因此他們已經面臨到相關要求,就像上述行政院金融監督管理委員會銀行局的非重大裁處事件,再加上其他產業的個資新聞事件,也應讓企業有所警惕才是。

企業應該積極思考,對於紙本機密文件的防護,應該從哪些面向去著手,像是從文件列印前就應該有所限制,而印出後的流程管控與員工教育訓練也很重要,甚至是桌上的便利貼、員工的筆記本,以及許多寫有個人資料的紙張,也應該有配套的管控,而文件最後的銷毀過程,同樣是不可輕忽的一環。

最後,要同時做好這些管控,也要企業內各部門的相互配合,才能減少這類問題發生的可能性。

 

近期銀行局關於紙本文件管控所公告的裁罰事件

 


相關報導請參考「回收紙的大問題」

熱門新聞

Advertisement