依個資法的規範,在任何紙本文件上的個人資料,不論形式或載體。因此,員工離開座位,個資文件,個資便條未能及時收好,這樣的的習慣需要改善,否則經過的同事、打掃的阿姨都能夠輕易接觸到個資文件。

在企業環境中的紙本個資文件,包含內部列印的個資文件,像是人事單位、業務單位產生的個資報表、個資文件,以及業務流程中用紙本蒐集來個資文件。

這些印出或蒐集來的個資文件,對於企業來說,管控相當不易,因此,企業內控機制與教育訓練是否足夠,是個資防護上的一大考驗。在文件印出後的控管,企業需在管理面上多下工夫,建立標準流程規範與員工個資防護意識。

落實教育訓練,並針對經手不同業務流程的人,提供、規畫對應課程
在紙本個資文件的防護上,企業除了針對業務流程,制定標準作業程序,同時也要加強企業員工的個資防護觀念。透過教育訓練課程,讓員工對個資法的嚴重性達成共識,並培養基本的個資防護意識。

更進一步,在個資法教育訓練上,企業如果可以依照員工的工作性質,制定並分布作業流程上的做法,讓員工除了具有基本個資風險概念,同時在工作內容上,也能充分了解到自己將面對的問題,或者是針對職務別來教育員工。需要注意的是,每個員工的了解程度難以掌控,企業也許能利用個資測驗,來協助員工了解正確的概念。

此外,透過列印文件上的浮水印與使用者資訊,也能讓員工在紙本文件處理上,有更明確的處理態度。

在紙本個資管控上,還有一個環節是企業較為憂心的部分,就是企業的第一線業務人員。這些員工長時間在外接觸客戶,手上握有相當多的第一手客戶資料,企業要做好紙本個資文件的管控,有相當的難度,尤其像是保險業務員、信用卡業務員、房屋仲介業者等業務人員等等,都可能帶有業務員本身印製的文件,或是客戶回填的申請文件。

企業對於這些人員除了要落實個資教育訓練,提升員工的個資保護意識,甚至讓相關同仁必須簽署保密協定,讓個資權責也要有相對應的保護。

勤業眾信企業風險管理協理舒世明協理表示,第一線業務人員是企業較難管控的部分,但過去也有企業透過管理的方式,派遣秘密客與業務員接觸,檢視業務人員對於機密、個資文件的防護觀念,加強並稽核業務人員的個資教育防護意識。

利用浮水印,提醒使用者謹慎處理紙本文件

一般而言,列印設備上最基本的管控功能就是浮水印套用,雖然浮水印在防護效力上較低,但還是有其應用之處。舉例來說,浮水印可以配合機密分級制度,提醒使用文件的人,這份個資文件不可任意擺放,不用時應該做好銷毀或是保存的動作,同時嚇阻其他人不要隨意使用這份文件。

另一種普遍的方式是在文件上添加列印時間、文件名稱、使用者帳號等資訊。有些設備廠商稱之為頁首頁尾資訊,有些廠商則稱為動態浮水印。這種方式,主要是為了方便看出這份文件的印製者,以及印製時間。

有些企業在管控上,會強制使用者印出這些資訊,讓使用者在文件使用上能更加謹慎,但這麼做的缺點是,多多少少會影響文件內容的呈現。

為了讓浮水印對文件內容的干擾至最低,有些複合機廠商提出了一些解法,例如在HP的解決方案Barcode Print中,可以將登入使用者名稱、文件名稱、頁碼、時期與時間等資訊,隱藏在二維條碼中。如此一來,印出的文件上只會附帶1個正方形的二位條碼,維持了文件的美觀性。此外,在富士全錄的解決方案UUID中,它會在列印文件上印出一串32位的英數排列的編號,而每份文件的UUID都不相同,就像是文件的識別碼。

或者是,在列印時自動輸出列印工作封面並裝訂,封面上會註明使用者、檔案名稱與機密等級,讓文件內容不會一下就被看到,使用者也可以清楚辨識、領取到自己輸出的文件,同時可以警示文件的重要程度,讓使用者能夠按照作業流程處理紙本。

透過標準作業流程與管理,盡力做到紙本個資的管控

在紙本個資文件的處理與傳遞上,企業應該都有既定的標準作業流程,讓個資文件在使用上,不會讓沒有授權的人接觸到,同時,企業還需教育員工,做好基本的個資防護流程。舉例來說,攜帶文件時,須將個資文件放於公文夾內,以防止不應知悉人員窺視或翻閱,離開座位時,個資文件最好背面朝上或放於公文夾內,或是將文件立刻收於上鎖的抽屜中。

客戶回填的申請文件,在掃描歸檔處理上,也應該有標準程序,像是掃描至指定目的地,或是加密處理,企業也可以針對掃描流程做系統規畫,讓掃描結果直接進入系統,確保紙本個資的處理流程上,企業盡到防護的責任。

其實,除了印出與蒐集的個資文件,使用者平時抄寫的筆記、便條,上面如有個人資訊,都是屬於個資防護的範圍內,因為照個資法的規範,在任何紙本文件上的個人資料,是不論形式或載體的,因此改善員工的作業習慣,便是重要的事。像是保持桌面整潔,讓紙本不要堆積在座位上,對於任何個資文件載體,都應該在使用完畢後,立即銷毀或存放於上鎖的抽屜。

甚至,也可教育員工在書寫時自行遮罩,使遮罩的關鍵部分只有自己記得,減少紙本個資文件的產生,並減少後續的管控問題,當然,要員工能這樣的難度也相當大。

此外,會議上如需使用紙本文件時,其中若附有機密、個資內容,也可以仿效軍方的管理辦法,每份文件需要標註號碼,並發給對應的與會成員,會議完畢後統一由專人收回並清點頁面。

紙本文件存放與銷毀,應建立標準處理程序

在紙本個資文件使用完畢後,企業應讓員工依照標準作業程序,立即執行保存或銷毀的動作。

資料存放上,一般企業多數做法是將文件放於文件櫃之中,但鐵櫃是否有落實上鎖,是企業過去也會疏忽的地方。有些企業會設立專門的保管室,以保存文件正本至有效期限為止,而保管室也只有權限人員擁有鑰匙才能進入,讓紙本保存也都有標準流程可以讓員工依循,或是搭配門禁系統與監視器系統,使企業也能做到追蹤、舉證與釐清責任歸屬的責任。

另一方面,過期檔案銷毀也是企業該注意的問題,這類文件通常是大批量處理,企業過去銷毀文件時,可能都是找資源回收站處理、紙廠水銷,或是送至焚化爐焚燒,不過個資文件具有較高的風險,銷毀上也應該確實防護。現在,也有紙廠水銷也開始提供較機密的銷毀流程,甚至,也有許多開始提供專業銷毀服務,讓機密、個資文件在運送、銷毀過程中,受到嚴密的防護,而銷毀過程也能有全程錄影監視記錄,作為未來文件銷毀舉證之用。

此外,平時使用完的個資紙本文件、印壞的文件,由於銷毀量較少,使用碎紙機處理,可以及時破壞文件的完整性,其中細碎型的碎紙機,在破壞力上較強,碎紙的寬度在2公釐以內,拼湊較不易。

紙本個資文件防護小提醒
● 透過教育訓練與個資檢測,提升員工個資防護意識。
● 嚴格教育外勤業務人員,需保管好手中的紙本個人資訊,最好不要讓業務人員保留客戶申請文件的副本。
● 不讓文件散落在工作區周遭,避免他人經過就可以看到內容。
● 將個資寫在便利貼、筆記本時,記得收好或碎掉。
● 個資文件在使用完畢後應隨手銷毀,或是歸檔保存。
● 使用檔案櫃、抽屜保存個資文件時,記得上鎖。
● 對於紙本個資文件,應嚴格規範文件的使用、運送、銷毀的方式。
● 建立機密資料分級的制度,或是以浮水印警示。
● 避免回收紙的不當使用,以免具有個資內容的紙張被當成回收紙用,而發生外洩事件。


Advertisement

更多 iThome相關內容