許多企業經常輕忽承載資料媒體與載體銷毀的重要性,往往將報廢的硬碟、磁帶隨意破壞,或交由委外廠商回收處理,但也因而導致資料外洩的風險。
在新版個人資料保護法的要求下,企業莫不提高對資料安全的重視,紛紛部署相關的方案來防範有意或無意的資料外洩,然而資料安全的範疇,除了資料收集、使用過程需受到嚴密的防範與監控之外,對於個人資料最後銷毀的流程也應妥善進行管理與防護。
 |
| ▲ 台灣IBM維護與技術支援服務部經理黃弼巍指出,在新版個資法下,萬一承載資料的載體不小心洩漏了個資,對於企業造成的損失很難估計。 |
「許多企業經常輕忽承載資料媒體與載體銷毀的重要性,往往將報廢的硬碟、磁帶隨意破壞,或交由委外廠商回收處理就認為資料沒有外洩的疑慮。」台灣IBM維護與技術支援服務部經理黃弼巍指出,新版個資法一旦施行,除了罰則最高可達兩億元之外,業者必須自負舉證責任,證明已完善保護客戶資料,同時自損害發生起,賠償請求權效期更長達五年,萬一承載資料的載體不小心洩漏了個資,對於企業造成的損失很難估計。
他表示,由於資料銷毀並不是經常性的工作,許多企業都是累積到一定數量後進行集中銷毀,再加上企業內部IT人力有限,往往也沒有合適的設備可以處理,因此增加不少資料外洩的疑慮,對此,IBM提供資料銷毀服務,以協助企業確保資料安全。
IBM的資料銷毀服務主要聚焦磁帶、硬碟、光碟、固態硬碟等IT所須的媒體載體的資料銷毀,並且依不同載體特性,採用不同的設備及方式來進行處理。例如針對硬碟的資料銷毀,便會分消磁處理以及物理性破壞兩階段進行。黃弼巍表示,所有流程一定會堅持在企業內部完成。IBM近期剛完成的實際服務案例,就是把所有需要的設備帶到現場並且施工。在施工前一定會先討論施工的方式,例如場地的位置、大小、設備擺放位置,以及攝影機架設的地方都會先經過討論。
「基於安全考量,一定會有攝影機對著門口以及操作人員攝影,每天早上幾點開始處理到下午幾點結束、約莫需要幾天、需不需要申請出入許可等等也會進行細部洽談。」他解釋,這麼做的目的是等到工作結束後,IBM會提供完整的錄影檔案以及紙本文件與企業端的代表人進行確認,並且雙方簽名,如此一來,不管企業面對內部稽核或外部稽核,甚至最後到法庭上,都有充份的證據來說明。
黃弼巍強調,個資法新舊法有很大的差別在於舉證責任,由過往的使用者自行舉證變成企業必須自己舉證,而且還要證明已經善盡了義務去保障所收集的個資。當企業處理得愈好,在遇到使用者請求企業損害權益等事件時,才能有愈高的可能性可以免責。「IBM有完整的流程、資料銷毀能力以及高度的可信度,可作為企業舉證的靠山。」黃弼巍說。