健保查閱個資祭出4強化策略 職員權限最小化原則
(中央社記者陳婕翎台北19日電)衛福部健保署員工涉洩漏個資,啟動行政調查內控機制,健保署今天說明,無資料外洩證據,關於資安維護及防止個資外洩,祭出4項強化策略,同步將職員業務查閱權限以最小化為原則。
健保署職員疑洩查民眾個資案,健保署啟動危機處理,依衛福部長薛瑞元指示成立專案小組,進行內部行政調查及檢視內控機制,全面盤點查詢健保資料權限,檢視合宜性並即刻調整授權範圍。
健保署政風室主任蔡秀卿今天上午接受媒體聯訪時表示,初步行政調查涉案謝姓科長於民國107年8月3日至8月8日有大量查詢約10多萬筆,但期間內查詢目的有公務依據,也無證據顯示有資料外洩情況。
蔡秀卿說明,日前媒體報導查閱國安軍情等單位,因屬公務機關,在以投保單位為公務機關設定查詢條件批次調閱資料下,一併調閱,這項調閱現階段查有相關公務辦理依據,以及分析統計結果可佐證,應該是為了統計分析而調檔,非刻意針對特定國安機敏人員而調閱。
蔡秀卿說,經初步調查結果,並沒有這筆資料以隨身碟USB存取攜出的紀錄,相關資料健保署將提供檢調單位做參考認定,全案進入司法程序,尊重司法調查,全力配合偵辦,期待檢調釐清案情。
蔡秀卿表示,正在持續審慎檢討研改資安維護及防止個資外洩等內控機制,現階段進行4項強化,包含加強管理調閱機敏資料授權程序,建立系統提醒機制;強化大量、機敏資料調閱及下載審核機制,依資料量及機敏度分訂核准層級。
另外也強化大量、機敏資料攜出管理,持續評估更佳化偵測作法;資料調閱依業務目的不同,遮蔽個人資訊欄位顯示範圍,避免過多個資揭露等。健保署網路採內外網實體隔離政策,內部禁止與外部連接,收入及支出面個人查詢Log檔,完整保存查詢紀錄,稽核管控。
蔡秀卿表示,健保署具有查閱職員人數並不少,已於112年1月16日完成3000名全數職員帳號權限使用現況盤點,以業務所需權限最小化為原則,重新調整權限配置,關閉僅是備用開放者權限,因相關調查報告仍在進行,暫時無法公開相關數據。(編輯:張芷瑄)1120119
本網站之文字、圖片及影音,非經授權,不得轉載、公開播送或公開傳輸及利用。