個資法正式上路後,企業開始陸續著手進行相關系統、設備的升級或更新,但往往焦點都放在「數位資安」,卻忽略「紙本文件」也跟您的個資資料外洩息息相關!
勞工局考績冊亂丟 個資遭外洩
今年初有民眾在一處民宅大樓附近,撿到4張高雄市政府勞工局勞動檢查處最新年終考績表格,全體職員姓名、職稱、身分證字號、獎懲情況及過去五年考績分數等資料全被看光光。對此,勞檢處表示,是承辦人員列印時,未察遭其他人員誤拿取。如此嚴重的疏失,其實都存在企業中成為並成為隱憂。
資安專家翁浩正表示:「在企業面對個資法的同時,「電子檔案」的保護固然重要,但應同時重視「紙本文件」。而從歸屬上來區分,一般企業可以分為「員工的人事資料」,以及「客戶和合作廠商的個人資料」兩種。在保護上,依法還要注意資料的,有「蒐集」、「處理」、「利用」等三階段過程。「蒐集」是指個人資料之取得,「處理」則包括了儲存、保管、編輯、複製、檢索、刪除等作業,至於「利用」則泛指其他一切使用個人資料之行為。以前面所提到的勞工局考績冊外洩案例來說,就是在紙本文件的個資保護上,在保管之過程出現嚴重漏洞所導致。」
完善「PDCA」 不怕個資外洩
PDCA 機制,即規劃 (Plan)、執行 (Do)、查核 (Check)、行動及改進 (Action)。實行這四步驟,才能確保在個資的防護上到達一定的水準。
PDCA這四步驟可簡單濃縮成一套企業專用的SOP:
1.規畫:制訂個資保護政策和設立專門組織、明訂個資存取控管程序與方法。
2.執行:進行「個資分類盤點」與保護程序、落實「個資保護」宣導與教育訓練。
3.稽核和改善:加強個資安全監控與檢視、提高個資外洩事件反應能力、重新審視與委外廠商的權利和義務以及遵守法規並落實內部稽核機制。
上述SOP中,「個資盤點」與「個資文件保護」為最重要的核心。機關與企業若能在發生個資外洩事件、面對損害賠償訴訟時,對法官證明自己已經採取了「PDCA」的程序、以及對個資文件已採取恰當的保護措施,也都有效執行,就可以免責。