防個資外泄情事再發生 健保署祭4大改進措施
健保署政風室主任蔡秀卿表示,目前正持續檢討資安維護及防止個資外泄等內控機制。(陳人齊攝)
已退休的健保署前主秘葉逢明,被控和健保署承保組科長謝玉蓮、承保組職員李仁輝,涉嫌從內部資訊系統偷查民衆健保個資,包括警調憲與國安局情治人員,且已長達13年。健保署今除說明初步調查結果,也公佈內部精進四大措施,目前已將全署3000名同仁的調閱權限限縮,將個人業務權限最小化。
健保署政風室主任蔡秀卿表示,目前正持續檢討資安維護及防止個資外泄等內控機制,包含加強管理調閱機敏資料之授權程序,建立系統提醒機制;強化大量、機敏資料調閱及下載之審覈機制,依資料量及機敏度分訂覈准層級;強化大量、機敏資料攜出管理,持續評估更佳化偵測作法;依資料調閱業務目的不同,遮蔽個人資訊欄位顯示範圍,避免過多個資揭露等四項。
蔡秀卿說,健保署已於112年1月16日完成全署3000名同仁帳號權限使用現狀盤點,將過去業務同仁備用的調閱權限先關閉,並以業務權限最小化爲原則,重新調整權限配置,至於有多少員工的權限被調整,因檢調仍在進行調查,目前仍不便透露。
至於10多萬筆的個資是否曾遭人用USB攜出?蔡秀卿表示,目前並未查到以USB存取攜出的LOG紀錄,至於LOG資料有無可能遭「高手」抹去?她強調,本署爲資通安全A級機關,內部網路禁止與Internet連接,各資通系統皆有嚴密的權限管控,收入面及支出面的個人查詢Log檔,會完整保存查詢紀錄。