由「回收紙」看企業文件管控

對於資料的保護，一直以來都是企業重視的問題。在高度電子化的現代，為了防範資料外洩，企業IT部門通常會考量安裝防火牆、使用防毒軟體等措施，或是針對電子郵件、雲端網路服務與即時通訊軟體加以限制，避免將機密資料傳送出去，甚至添購文件安全控管系統，以及專屬的資料外洩防護設備。

然而無紙化的風潮，提倡了很多年，並沒有讓大家因此不用印表機和影印機，因此，回過頭來看，紙本文件所造成的資安問題，也是企業容易忽略的問題，尤其是去年新版個人資料保護法在立法院三讀通過後，特別擴大保護對象、加重刑責，不管是紙本或電子檔案都在保護範圍內，紙本個資防護也成為企業近年不可再輕忽的問題。

舉例來說，過去，為了避免資源浪費並考量成本問題，加上環保意識的抬頭，多數企業都有採用只列印1頁的紙張回收再利用的作法，也就是將這些回收紙張當作列印紙或便條紙來使用，以減少紙張使用量，企圖減少碳排放量與原木砍伐速度。

這種作法看似節省成本、環保，但一直以來都有一些問題，例如回收紙容易導致印表機卡紙，造成設備損耗，以及讓其他人看到不該看的內容，而導致機密外洩的安全問題。部分大型企業針對內部稽核與內部控管相當嚴格，但多數中小企業對於這類問題並沒有太多重視，面對新版個資法的要求，對於與個人資料保護的要求更高，不論你的企業規模多小，IT預算再少，都勢必需要做出更符合要求的應對措施。

相關洩密新聞事件不斷，提醒各企業應加快腳步做好控管

在前陣子的新聞中，已有不少這樣的案例發生，像是8月萬芳醫院發生將病歷當便條紙的錯誤，被民眾檢舉出而上了各大報的新聞。該醫院服務臺所提供的便條紙背面，居然是其他病患的就診資料，這樣的疏失也讓其他看診的病患擔心，自己的個人資料、診斷報告，是否這樣輕易的被他人獲取，一不小心，是否可能會被有心人士利用、盜賣，甚至有被要脅的可能性。如果是名人的病歷資料外洩，可能會造成不可預期的影響，像是過去蘋果執行長賈伯斯的病情就不小心洩漏出來，而造成外界對蘋果股價及營運面缺乏信心。

除了上述的新聞，我們也看到政府對某些產業內的流程也提出警告，例如在行政院金融監督管理委員會銀行局的官方網站上，也可以看到近期有多起紙本文件管理上的人為疏失，遭到銀行局糾正，光是今年下半年7、8月份，就已經有4起這樣的案例。

舉例來說，銀行局8月所裁處的事件中，臺灣中小企業銀行曾因辦理貸款業務，將原供授信內部審核的資料，以回收紙張影印存檔，該資料背面印有其他客戶資料而未察覺，便是同樣明顯的例子，對於回收紙沒有做好確實的控管。

在這些最近的裁處案例中，還有些案例則顯示出銀行內部管理措施，並未能有效防範從業人員不慎或不當使用客戶資料。像是同月中，另一家銀行發生過提供客戶取款憑條資料影本時，不慎同時印出其他存戶存款憑條資料的狀況，也有銀行前行員將客戶往來資料私自影印留存不當使用，以及銀行因遺失對保文件，而造成相關交換作業流程有缺失，這些案例都顯示出紙本文件管控與客戶資料保護上的問題。

對於多數企業來說，由於目前紙本文件的需求仍是無法避免的行政流程，且紙本文件的管理難度相當大，不斷強調網路安全的今天，對於實體文件的安全管控似乎有些鬆懈，加上新版個資法即將上路，以往的作法是否需要調整，這也是企業應該持續思考的問題。

層出不窮的案例，也讓人不禁擔心，目前各企業的紙本文件管理上，似乎仍有不足之處，除了上面所發生的案例，是否還有更多外洩可能性是沒有被發現的？

有些公司也開始針對這樣的問題趕緊提出因應辦法，例如銀行業，畢竟同業中有違反規定的情況發生，部分銀行檢視自身內部作業流程，也發現紙本資料未妥善保管、銷毀，他們為了避免資料外洩的可能性，最近已發布停止使用回收紙，請公司同仁自行處理銷毀印有客戶資料的文件，並且一定要於碎紙機銷毀。

回收紙的背面真的不能用嗎？

這些狀況令人想到一本書《影印紙的背面不要用》，它是3年前的一本翻譯書，這個異於日常習慣的議題，當時確實吸引住一些讀者的注意力，也出現在誠品、金石堂、博客來書店的排行榜上，雖然這本書主要是在談論「成本控制」，也值得我們去更深入探討這樣的問題。

將印過單面的A4紙張，重新當成回收紙再印，乍看之下是節省資源。但實際上這麼做有很多隱形成本，像是需要花人力分可重複利用與不可利用、去除訂書針；擺放回收紙於影印機時，必須搞清楚正反面的擺放，放錯面又會造成工作流程更不順暢；印出後由於兩面都有內容，可能會出現不易分辨的狀況；如果分類有疏忽時，可能被他人看到機密內容；若有訂書針未拆除乾淨、紙張不平整，而有可能會容易卡紙，甚至造成機器損壞等情況。

這些作法，也許一直都是中小企業中的安全死角，容易被人所忽視，雖然回收紙再利用的作法，表面上可以減少資源的浪費，但為了環保也不能忽略控管，企業必須有相關的文件管理措施及銷毀流程。

商業機密與個資保護是防護重點

一旦企業內部發生機密外洩的情事，不僅會造成企業名譽損失，商業機密的外洩，更有可能帶給企業的相當致命的打擊，造成無法估計的損失。

企業除了保護商業機密資訊，即將公布的個資法施行細則，也讓個人資料保護成為多數企業必須關心的議題。為了降低營運風險，企業必須重視資料外洩所帶來的損失及應付的責任，對於風險法規的遵循，也能避免被處以可觀的罰鍰。

舉例來說，當違反個人資料保護的情況發生時，當事人可向違反個資法的企業求償，每人每次5百元～2萬元，合計最高求償更高到2億元。另外，對於謀利的違法行為，刑事責任則可求處5年以下有期徒刑併科100萬元罰金。

依據新版個資法規，一般人與企業都需要遵守個資法的規範，不論電腦中的數位資料，或者是寫在紙張上的個人資料，都是個資保護對象。面對這樣的改變，企業對於紙本文件的安全控管方面，應該積極遵循法規的要求，同時也能幫助組織本身降低經營風險，並建立良好的公眾形象。

雖然個資法施行細則及相關法規命令的修訂工作，有所延宕，不過金融單位對於法規遵循的腳步，向來進行得比較快，因此他們已經面臨到相關要求，就像上述行政院金融監督管理委員會銀行局的非重大裁處事件，再加上其他產業的個資新聞事件，也應讓企業有所警惕才是。

企業應該積極思考，對於紙本機密文件的防護，應該從哪些面向去著手，像是從文件列印前就應該有所限制，而印出後的流程管控與員工教育訓練也很重要，甚至是桌上的便利貼、員工的筆記本，以及許多寫有個人資料的紙張，也應該有配套的管控，而文件最後的銷毀過程，同樣是不可輕忽的一環。

最後，要同時做好這些管控，也要企業內各部門的相互配合，才能減少這類問題發生的可能性。

近期銀行局關於紙本文件管控所公告的裁罰事件

相關報導請參考「回收紙的大問題」