健保署被爆濫查個資案，承保組科長謝玉蓮（左）昨十萬元交保、李仁輝（右）請回。 （記者羅沛德攝）

〔記者陳鈺馥／台北報導〕健保署前主秘葉逢明、承保組科長謝玉蓮等三人，被內部檢舉涉嫌洩漏個資長達十三年，受害人包括軍、警、調或移民官等「情報機關人員」，台北地檢署依涉犯國家情報工作法偵辦。對於如何防堵「內鬼」洩漏機敏個資，資安專家學者建議，登錄、查詢應留下日誌，單位平時要進行稽核，以防範內部人員洩密。

定期進行稽核

成功大學電機系教授李忠憲昨日受訪指出，關於健保署有員工外洩個資，哪個人登錄、哪個人進行查詢，都應該要留下日誌並通報管理人員，例如歐洲的愛沙尼亞就是這樣規定，只要重視資訊安全的國家管理機制都是如此。

請繼續往下閱讀...

李忠憲提及，負責管理的人員必須要有層級，一般辦事員登入查詢都要留下日誌，該單位應將日誌全面保存起來，詳細記載查詢了什麼人，定期進行稽核和稽查，現在警政系統、法院系統都是這樣，員工不能隨便去查詢別人的個資。

李忠憲也認為，基本上台灣的健保、戶政系統的管理有很大問題，數位發展部應該進行清查，制定相關防護措施，可以借鏡愛沙尼亞等國經驗。

國防安全研究院網路安全與決策推演研究所助理研究員曾怡碩表示，外界關注相關資料外洩給誰，若涉案者所查詢對象非自己承辦業務，擅自查詢個資就會有問題；如果又有外洩，要查清楚是過失或非過失，若是有對價或其他利益因素，就會有刑責問題。

曾怡碩說，洩漏有商業性洩漏，就是一般民眾常質疑的，「為何保險公司會知道我的個資？」若是就醫紀錄更是機敏資料。另外，該案是健保署海量的資料被外洩，還是從事機敏任務的國安情報人員的個資被外洩？危害程度都不一樣。

曾怡碩提到，從就醫紀錄、電子病歷、承保資料就可以知道有什麼病史、診斷情形，這是極機敏的資料，尤其是國安人員、政要的診療紀錄若外洩，可能危及國家安全，政府單位的網路安全、資料儲存、資料中心的防護都必須強化。

設洩密防護機制

他強調，國外也有類似案例，新加坡是被駭客駭進去拿走政要的個資，俄羅斯也曾經網攻美國的醫療機構要竊取資料，網路安全是最重要的，對於可接觸到「機敏資料」或「受控非機密資料」的人，也要有一些洩密防護機制。

不用抽 不用搶 現在用APP看新聞 保證天天中獎　 點我下載APP　 按我看活動辦法