從個資法看郵件風險管理

從立法院三讀通過、法務部訂定施行細則至101年10月1日施行，在這漫長過程中，各公司行號、單位主事者開始了解什麼是個資法、若外洩了會有什麼風險、個資要如何盤點、如何買對軟硬體設備、如何訂定個資管理流程、如何做突發事件危機處理、如何追查個資外洩事件、如何找到專業的法務或律師團隊，以上種種需求並非傳統網管人員或IT部門能一肩扛下，這也成為IT人員面臨的挑戰與機會。

透過電子郵件外洩個資問題層出不窮，包括刻意或不小心的夾錯附件檔案、寄錯收件人等等，從學校、政府機關、金融證券保險業、醫院及電子商務等產業都曾發生，面對個資新法，傳統單一事件的頭痛醫頭、腳痛醫腳的解決方案再也不能滿足企業需求，一個更全方位的解決方案應該全盤了解組織單位電子郵件使用情況、握有敏感訊息的組織部門、所需保護的敏感機密文檔，甚至必須簽保密條款。

原本從單純外發郵件控管需求，追根究柢地全盤了解郵件外洩風險控管議題，甚至法律知識的認識、員工資安與法律教育宣導與落實，進而針對電子郵件做數位資產保存。

根據8月27日媒體報導，蘋果（Apple）與三星電子（Samsung）的專利訴訟戰，三星敗訴並遭判賠10.5億美元（約310億新台幣）的主因，竟是一封Google的電子郵件，其中關鍵因素是在判定三星是否蓄意（willful）侵犯蘋果專利時，Google的電子郵件起了關鍵作用，因Google在2010年就曾以電子郵件，要求三星「更改與蘋果產品外型類似設計」。 這起事件足以成為電子郵件數位證據舉證之案例，企業組織要永續經營，電子郵件數位證據理應永續保存，並做好權限管理、資料保護，並提供簡單易用之搜尋與證據調閱工具，而這些需求，MIS人員責無旁貸。

然而，實際情況卻往往力不從心，如何找對風險控管顧問團隊反而成為IT人員面臨的挑戰，找對團隊可幫助公司趨吉避凶，做好風險控管，並跨部門協調法務、人資、研發、客服、業務等單位做好風險控管流程；相對地，若找錯服務供應商可能跟買錯設備一樣要痛苦三五年，甚至要面臨個資法之罰責與刑責。

電子郵件風險管理分工日趨細密，包括電子郵件安全防禦、釣魚詐騙郵件之攔截與預警、病毒與後門程式之掃描，社交工程演練與強化同仁收發郵件之警覺心與責任、外寄郵件管控、傳輸加密、郵件歸檔與數位證據查找、防偽冒詐騙郵件等，一次到位實屬不易，可依個別需求與風險程度做短中期規劃，配合有限預算逐年完成相關目標，CelloConsult風險管理團隊可為兩岸三地客戶做最優質且專業之服務。

（本文作者現任Cellopoint公司亞太區CelloConsult顧問團隊營運總監）