個資盤點可說是企業實施個資防護的第一步,以往多半是由顧問公司指導進行盤點,但龐大分散的個資要以人工進行盤點勢必相當耗時,再加上如果員工因為不想被發現自己違反規定收集個資,或是擔心後續處理的麻煩不願意配合,而敷衍了事的話,都會影響到盤點成果,如今運用自動化工具,則可以有效率且精準地執行個資盤點工作。
根據新版個資法定義的個人資料範圍,包含:姓名、出生年月日、身分證編號、護照號碼、婚姻、家庭、教育、職業、聯絡方式等等項目,而這些資料可能分散在各個不同部門,散落在企業各個不同單位,甚至是員工的個人電腦中,要預防個資外洩,第一件事就是搞清楚何處存放有哪些個資。因此個資盤點清查不僅是企業因應個資法上路的首要任務,更將影響到日後針對個資檔案的管理、追蹤與審查。
人工作業難有效盤點
個資盤點可說是企業實施個資防護的第一步,而以往多半是由顧問公司指導,以人工方式進行盤點,但網擎資訊線上服務部協理李孟秋以其所接觸企業為例,平均每台電腦有4,640個檔案含有個資,每個檔案則約有27筆個資,以此比例來看,每台電腦裡可能有12萬筆以上的個資。這樣龐大的個資如果要以人工進行盤點的話勢必相當耗時,再加上如果員工因為不想讓人發現自己違反規定收集個資,或是擔心後續處理的麻煩不願意配合,而敷衍了事的話,都會影響到盤點的效用,因此才需要透過網擎資訊推出的P-Marker來輔助,有效率且精準地執行個資盤點工作。
 |
| ▲個資盤點的雲端服務架構,使用者只需執行用戶端程式,就會將該電腦所持有的個資統計結果以加密與遮罩方式傳送到雲端伺服器,供管理者或稽核人員查看。(資料來源:網擎資訊) |
網擎資訊是做搜尋引擎起家的國內廠商,原本就具有字詞拆解分析的核心技術,李孟秋指出,尤其在繁體中文方面,相較於國外廠商更具優勢。此外網擎擁有多年郵件系統軟體與代管平台經驗,早已開發出避免機密資料經由電子郵件送出的辨識技術,足以運用在個資的辨識盤點上。
與管理顧問公司是合作而非競爭
結構化的資料庫當然也是企業進行個資盤點的一大重點,而具備資料庫管理解決方案的庫柏資訊也看到此需求,推出pdSearch個資清查工具。庫柏資訊總經理林俊仁提到,資料庫稽核是法規遵循中不可或缺的一部份,在個資施行細則中的十一項必要措施,其中第二項「界定個人資料之範圍」,與第三項「個人資料之風險評估及管理機制」,都與此相關。但是企業不可能對所有的資料進行全面監控,因為監控的項目愈多,資料庫的效能勢必愈差,所以必需先了解什麼是個資?哪裡存有個資?才能找出正確標的以執行有效的管控。
 |
| ▲pdSearch個資清查報告可呈現各個資料庫具有敏感表格與欄位的統計,點選後可進一步細看其內含的個資資料。(資料來源:庫柏資訊) |
林俊仁不諱言,剛開始一些管理顧問公司會對提供自動盤點工具的IT廠商存有敵意,認為具有競爭關係。但他強調,其實庫柏資訊只是提供一套自動工具來協助客戶迅速的找出企業個資的所在,至於這些個資經過哪些部門?及被如何使用?這些與業務流程相關的作業仍需由管理顧問來執行。若是採以往人工盤點方式去做,既費時又耗力,也會拉長其輔導個資防護業務的時間而影響到業績,因此身為工具廠商,與顧問公司彼此了解後反而增進了合作關係。
雲端運作的P-Marker
網擎P-Marker進行盤點時需要先依身分證字號、姓名等個資定義類型,加上個資筆數來設定風險等級,再將工具程式遠端派送到員工電腦或檔案伺服器上去進行掃描,最後掃描結果會予以去識別化後再加密傳送到位於雲端的中央管理平台進行匯整。
在部署架構上,中小企業可直接採用公有雲服務,以次計費(約數百元)或一年不限次數的方式,有效率的進行盤點。至於為何採用雲端架構而不是像防毒軟體的代理程式?李孟秋解釋,因為網擎資訊原本就有郵件的雲端服務技術,由雲端中控平台來收集個資,還可避免員工刻意或疏忽持有個資。
P-Marker可以從各種檔案類型(如Office、PDF、HTML、ZIP等)中辨識出個資資料,尤其在中文姓名的識別上結合多種的比對方式更是其特色。像總幹事王小明、王小明校長、王總經理小明等,這類常見稱謂和姓名的組合,皆能被正確的找出,且過濾出像老頭子、管理員等任意三字詞的組合。「由於個資法所保護的標的是自然人,所以只要是中文姓名,就極有可能是需要保護的個資,所以像廠商名錄這類雖然有地址、電話等資料,但只要沒有自然人姓名在內的話,就可以排除在保護的個資名單外。」李孟秋說。
在適用的裝置上,P-Marker能在網站與個人電腦上執行掃描個資的工作,至於資料庫的部分,李孟秋表示因為資料庫通常與關鍵系統相連,一般企業也不放心讓個資盤點工具掛在資料庫上進行掃描,所以她建議企業可以從資料庫中的資料表抓出一些樣本,以文字檔案的型式匯出進行掃描檢查即可。
pdSearch盤點資料庫
一般人會問,資料庫盤點難道不能直接下一些SQL語法來搜尋即可嗎?林俊仁解釋,要下SQL語法需要先指定資料表(Table)、欄位,所以能下指令的話,就已經知道有哪些欄位,根本也不需要盤點,除非是想知道個資的筆數。但問題是,企業有很多的應用系統都是委外開外開發,或是負責開發的人員早已離職,而IT人員只需要會使用與維護資料庫正常運作即可,不一定會清楚有什麼欄位,當然也就無法下指令查詢。
而庫柏資訊的pdSearch的運作方式則是只要告知資料庫所在的IP位址、連接埠後,就能連到資料庫針對每個Table、欄位去進行取樣。所以必需先與企業討論出有哪些是要被盤點的個資?像常見的地址、身分證字號等都已有預設的Pattern,如果是像員工編號或病歷卡號這類較特殊的個資,就會依據其特徵來訂出規則後,即可按設定的參數來進行搜尋。
個資法因應 中小企業才準備開始
新版個資法終於在10月1日正式上路,但這只是個開始而已,對此林俊仁觀察到,以日本的個資法實施經驗來看,上路後企業初期也是抱著觀望態度,但隨著民眾被教育加上賠償金的驅使,未來幾年預估會大幅增加個資訟訴的案件,直到企業因壓力導入個資保護後才會從高峰逐漸降低,由此看來,個資保護所帶來的影響與商機才正要開始。