[資安普拿疼] 個人資料保護法:保密防諜人人有責

最近相信大家看到很多的主題,都圍繞在「個資法」及「資料外洩防護(Data Loss Prevention; DLP)」上面,到底個資法的影響範圍有多大呢?資料外洩所造成的問題會是如何?

最近相信大家看到很多的主題,都圍繞在「個資法」及「資料外洩防護(Data Loss Prevention; DLP)」上面,到底個資法的影響範圍有多大呢?資料外洩所造成的問題會是如何?

大部分的個資外洩案件,都有一個共同點,就是處理客戶資料失當,隱含的威脅就是人員警覺性不足、作業程序不完整等,才會使得個資外洩事件層出不窮,常常造成企業不小的損失,以長遠的經營來看,影響甚鉅。

舉例來說,最近有一則新聞,「高鐵死亡通報單回收訂飲料,個資外洩」,大略的內容是說一名乘客,在高鐵上面昏睡猝死,而事件處理過程的死亡通報單,被發現背面被利用來訂飲料,該通報單甚至被棄置於地上,造成當事人資料外洩。

由此例子看來,其實大多數的人對個資的警覺性、重要性,尚有一大段差距,因此企業主本身就要去思考,該如何讓此類的問題不再發生或是降低發生機率。接下來,我們就來探討「個資法」及「資料外洩防護」所產生的種種資安問題,應該如何面對及防範。

Q1:「個資法」的衝擊?
e-Ray Secure答:以一般企業來說,政策的施行是一大挑戰,一般人長期在便利性的環境工作,久而久之就變成了習慣,一旦限制政策下來,往往會出現一堆反對聲浪,企業主應該如何應對呢?一般來說,因為需要思考的面變大了,往往都會造成混亂、無所適從,建議可以從以下的企業成長流程進行思考:
﹒開始成本(x):新成立企業,所需要的設備、系統採購,包含規劃建置的成本
﹒操作成本(2x):企業營運管理、作業程序、教育訓練、報表與稽核管理的成本
﹒個資外洩成本(10x):即時回應、加強系統安全、事後檢討,危機處理成本
﹒商譽損失(Nx):營運損失、信任度、品牌形象

以企業來看,任何成本都比不上辛苦建立的商譽品牌形象毀於一旦,開公司很難,穩定經營更難,災難重建非常難,如何制定決策,就是企業主要面對的問題了。

針對無店面零售業者的衝擊也不小,根據165防詐騙專線的統計,有許多詐騙事件都肇因於網購、線上購物業者處理客戶資料失當,然而這些產業卻因為不適用於個資法,法律無法從約束,即便業者洩露了個資,受害民眾也無法以現行個資法求償。

因應上述問題,一旦「電腦處理個人資料保護法」通過之後,會強制無店面零售業者,必須符合以下幾點規範:

﹒網購業者必須登記取得執照
﹒增添無店面零售業者額外營運成本
﹒申請執照許可的行政作業成本
﹒強化資訊安全的成本
﹒客戶服務與時間的成本也會增加

業者為了保護個資,因物流配送單上遮罩部分資訊所造成的送貨遲延、配送效率降低,都是業者不得不面臨的額外支出。

Q2:個人資料在何方?
e-Ray Secure答:我想大家一定都不確定個人資料到底在何方?不然就不會有那麼多個資外洩事件產生。說得白話一點,其實個人資料存在我們生活當中,隨處都遇得到,就看我們自身的資安警覺性夠不夠了,往往外洩問題都是在不小心、不經意的做事方法下所產生的,因此企業主需要思考的方向很多,為了不讓公司的商譽受到影響,不得不施行及採取強制集中控管政策。

Q3:企業需要資料防護的原因?
e-Ray Secure答:在進行資料防護之前,必須要先暸解資料有風險的位置,簡單分類如下:

﹒應用程式使用:上網瀏覽、收發信件、即時通訊聊天、列印文件、FTP上下傳檔案
﹒外接式儲存設備:隨身碟、CD/DVD、MP3、數位相機
﹒內部作業人員:未經授權的文件傳輸、誤傳附件給他人

以上的風險位置,存放了企業內部重要的資料,如:客戶資料、研發部門相闋的資訊、報價資訊,假使一不小心,造成資訊外洩,對企業的影響是很大的,總計起來人為的風險佔了一半以上,都說明了「人」才是最大的資安風險。

根據統計「60% 的公司資料都沒有妥善防護」,為什麼呢?因為往往意外就在你身邊,可以參考以下案例:

﹒遺失USB
﹒醫院遺失741位病患的醫療紀錄
﹒在英國當地的乾洗店送洗的衣物口袋中共發現9,000個USB隨身碟
﹒遺失多媒體光碟
.  在街上發現1,110萬筆重要煉油廠(USA)的客戶個人資訊
﹒錯誤的電子郵件附件
﹒銀行員工不小心將敏感的客戶資料傳送至錯誤的電子郵件地址
﹒遺失iPod
﹒英國每6個月有12,500部掌上型裝置遺忘在計程車後座上

(作/奕瑞科技企業服務組劉清賢)
(…未完,更多精采內容請參閱網路資訊雜誌222期5月號)

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416