轉載自交通部公路總局新竹區監理所
因應紙本個資文件防護需求,機關應從管理面出發,並搭配技術 面輔助管控,像是在列印設備上早已提供諸多功能協助管控,包括身 分驗證、權限控管、機密列印與紀錄備存等功能,妥善利用這些功能, 便能強化列印設備與紙本文件的個資防護,減少紙本文件帶來的個資 風險。
★紙本文件輸出缺乏有效管控 舉例來說,列印時,一旦有個資內容的文件印出後被他人誤取, 或無人領取,就是紙本個資在列印時造成的風險缺口。傳真也是紙本 個資防護不能忽略的管道,像是傳真文件印出被人拿取,下班時間後 輸出的傳真文件沒人控管,也會造成同樣的問題。 從個資文件的產生、傳遞、利用,直到最後的銷毀與保存,都應 制定好各人員的授權與責任,同時建置機密文件的分類、分級制度, 並檢視現有作業流程。而員工的個資防護教育訓練也是持續不斷要做 的事,讓員工不論是在業務流程中,或是工作習慣上,都應該有良好 的個資防護觀念。
★列印工作若委外,交付企業仍有個資責任 除了自己內部列印的管控,有些機關也會將文件列印工作委外處 理。但委外並不代表機關不用負責,依據個資法第 4 條規定,「受公 務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用 範圍內,視同委託機關。」因此,機關在交付個資文件委外作業時, 2 需要謹慎評估,並針對有關個人資料處理的業務,建立評估的標準, 以便篩選出適合的配合廠商。
★紙本資料輸出後,形成管理大漏洞 過去許多列印、傳真、掃描的使用習慣,其實都是紙本個資文件 管控的大漏洞,管理者應立即檢視這些問題所帶來的個資風險。 漏洞1:列印文件擱置在設備上,遭誤取或窺視 漏洞2:個資文件傳真進來後,在傳真設備上無人領取 漏洞3:傳真個資文件時,不小心傳送到錯誤對象 漏洞4:掃描歸檔結果輕易被他人存取
★列印前的控管做法 個資文件印出前,應先做好列印行為權限管控不論是從列印設備 開始管控,或是針對檔案限制使用者的列印權限,均可減少紙本機密、 個資文件的管控。