《資訊洩漏防止措施》

 

2022.01.19

 

《資訊洩漏防止措施》

 

＊最近幾天看到日本新聞不斷有企業、行政機關洩漏個人資訊，像是稅務局職員因同名同姓誤認為同一人，但其實出生年月日和住址不同沒有確認清楚，就洩露了個人資訊。某依醫院的醫師因休息時開啟了直播APP，後續沒有發現APP仍在運轉，將手機放置口袋後就直接進行診察，變成現場直播與病患間的對話。電力公司的職員非法閱覽、傳送顧客資訊，包含顧客名義和電話號碼外，還有電力使用量等可以用於營業活動之資訊等事件。

 

＊在日本除了有《個人資料保護法》（個人情報の保護に関する法律）來妥當管理個人資訊外，針對企業亦有制定《科技等資訊洩漏防止措施方針》（技術等情報漏えい防止措置の実施の促進に関する指針）及《防止措施認證業務的實施方法》（技術等情報漏えい防止措置認証業務の実施の方法），來確保企業內部資訊不被濫用，除了可避免經濟上損失，亦能獲得客戶之信賴，藉此來保持企業競爭力。

 

＊該制度雖然可以增進產業競爭力，但截至2022年取得認證之企業數量卻只有32家，因此日本重新審視「科技資訊管理認證制度」，於2022年7月29日進行修法，主要係以簡化認證審查程序，改善便利性，促進整個制度利用，另修法前並無對資安之後續追蹤，此次新增企業自取得認證日起算一年，應依認證機構指定之方式，由企業自行確認其取得認證範圍內是否有適當實施防止資訊洩漏之措施，並交由認證機構確認其內容是否完備做後續追蹤。並且同時導入認證標誌，使取得認證的企業可以使用認證標誌，向大眾展示自己具有科技資訊管理體制，此次的修正是希望能擴大制度的利用，目標是擴大至一千家以上企業使用。

 

＊在臺灣雖然沒有制定「科技資訊管理認證制度」，但其實一直有機構在做有關資訊安全管理的標準，像是ISO 27001就是一套國際通用的資訊安全管理工具和制度，以呼應全球對於資訊安全風險之因應措施，控制並降低資訊安全事件所帶來的威脅和衝擊。(好可惜沒辦法上到這個課程QQ)

 

P.S不得不說日本發生的事件都是偏扯的人為疏失及刻意，人員管理上確實有很大進步空間~

常見作法透過宣導與教育訓練，強化同仁個資法遵意識，避免因違法行為衍生個人與公司之責任。公司核心業務所蒐集、處理或利用個資，或其他重要敏感個資，應設定存取權限管控；必要時，可設置作業專區並限制攜入個人行動裝置。

因最近聚焦在【碳】但還沒研究完全，沒有相關心得輸出，借用先前寫國際瞭望的主題，已出版在科技法律透析35卷1期2023年1月，有興趣者可參考。