離開
進入公務員洩個資非首例 監院曾促銓敘部改善資安
監察院曾提調查報告,促請銓敘部檢討改善資通安全管理制度。(資料照)
〔記者謝君臨/台北報導〕健保署三職員涉偷查、外洩民眾個資,檢調昨發動搜索約談。事實上,早在二○一九年六月,銓敘部就曾爆發公務人員個資被置於國外論壇販賣案,外洩資料內含國安局等機敏機關,有威脅國安之虞。監察院二○二○年一月通過時任監委仉桂美、劉德勳、包宗和所提調查報告,促請銓敘部檢討改善其資通安全管理制度(ISMS)。
調查指出,該案早在二○一二年六月就外洩,但七年後才被發覺;外洩內容為銓敘部二○○五年一月起至二○一二年六月底間的中央及地方機關公務人員送審人員歷史資料,經比對後實際影響人數為廿四萬餘人,含行政機關、公營事業、衛生醫療機構及公立學校職員等,總計全國逾七成公務人員個資遭到外洩。
三位監委表示,銓敘部雖稱遭外洩者均為文職人員,但所掌業務機敏與否,與文職或軍職身分並無關係,以調查局為例,約有二千餘人個資遭洩漏,對國安的影響甚巨。但也因資料外洩逾七年,相關軟硬體均已報廢,行政院技術服務中心、調查局及刑事局均指出,以現有數位跡證,難以追查實際外洩過程及原因。
調查結果,銓敘部屬於資安責任等級A級機關,卻未能積極配合二○○九年起推動的「政府機關(構)資訊安全責任等級分級作業施行計畫」,直到二○一六年十月才將可存取全國公務人員銓審資料的「銓敘業務網路作業系統」、「公文管理及線上簽核系統」納入ISMS驗證範圍,使含機敏機關在內的全國公務人員個資長期暴露於高風險中。
再者,銓敘部發現資料外洩前,未能依照「資訊系統分級與資安防護基準作業規定」四大構面予以詳實評估,長期將上開兩大系統低估為安全等級中級,以致相關系統防護基準不足,顯示該部長期漠視全國公務人員個資的洩漏風險。
