小問題釀大災禍

影印紙回收再利用，潛在的資訊安全問題一直沒有受到企業的高度重視，因而回收紙衍生的個資外洩事件，層出不窮。

前不久，臺北市立萬芳醫院因為此事上報。因為放在服務檯供民眾使用的便條紙，是回收紙再利用，而紙張的背面竟然印著病患的病歷資料。雖然院方解釋其為醫生打錯的病歷資料，但無論如何都突顯了企業在回收紙的再利用，缺乏有效的管理，或甚至沒有管理。

別以為不慎使用回收紙的問題，只會發生在一般的中小企業，其實，連大家認為管理制度理應較為嚴格的大企業，也照樣發生相同的問題，只是沒有上報而己。

光是過去6個月內，金管會銀行局就已經針對3家銀行提出糾正裁罰。今年4月，銀行局對新光銀行提出糾正，因為該銀行在辦理客戶申請信用卡分期還款時，由傳真機接收新光行銷公司所傳的申請書，然而銀行卻使用影印回收紙來接收傳真，而這張回收紙背後竟印著其他客戶的票據資料，導致申請分期還款的客戶帶走申請書正本之後，也連帶導致客戶票據資料外洩。

今年8月初，銀行局對臺灣中小企業銀行提出糾正，因為他們的授信審核資料以回收紙影印，但客戶申請了撤件，承辦人員卻未察覺文件背後印有其他客戶的資料，導致客戶的資料外洩。

今年8月底，銀行局則對臺北富邦銀行提出糾正，他們曾經使用回收紙來影印客戶的取款憑條，而回收紙的背面則印有其他客戶的存款憑條資料，以致於洩露了客戶的資料。

上述事件也只是銀行業發生的問題，類似的情況在其他產業一定還很多，因為我就看過好幾次這樣的例子。

環保意識已經深植人心，大家在不能避免使用紙張的情況下，只好利用回收紙來減少紙張用量，如此不僅有助於環保，亦能為公司節省成本。但也因為這樣，有許多不應該當成回收紙來使用的資料，都躺在影印機裏，看誰的文件印到了，就拿走了那些資料；會議記錄、請款報表、出帳報表，甚至是ERP報表，都跟著回收紙而四處流浪。

環保固然重要，但光有環境保護意識，而缺乏資料保護意識，未來則可能會為公司帶來大災禍，因為新版個人資料保護法上路之後，對於個人資料外洩，不僅可能課以高達上億的罰款，連帶還會處以刑事責任。所以除了教育員工環保意識，也要加強宣導資保意識。

如果是為了紙類回收做環保，那麼其實大可不必使用回收紙，你只要徹底做好紙本文件銷毀，資源分類，最後大多數的紙類都會回收再利用。例如在公司就以碎紙機銷毀文件，再將紙類資源回收，最後還是會回到紙廠重製再利用。或者，你可以交由專業的文件保全或文件銷毀公司來處理，他們會負責把文件徹底銷毀，最後廢紙還是會由紙廠回收再製。甚至，也有紙廠提供水銷服務，直接把廢紙倒入紙漿槽再製。不過，採用委外服務則務必了解服務商的保全流程。

不論你是為了環保或是節省成本而使用回收紙，更根本的做法，是由源頭文件輸出直接管制，做好紙本文件控管。從文件列印管制做起，既可控制機密文件的列印，亦可抑制紙張用量。

現在這類因回收紙而外洩資料的事件，可能只是被主管機關糾正而已，但未來新版個資法上路，問題就不是這麼簡單了事，所以，別再以為回收紙只是個小問題，它有可能會釀成大災禍的。

吳其勳／iThome電腦報周刊總編輯
merton@mail.ithome.com.tw