企業如何做好紙本文件的控管

商業機密文件是企業向來所重視的，因應新版個資法規定，紙本個人資料的管理也變得格外重要，應防範個人資料被竊取、竄改、毀損或洩露的情事發生。

舉例來說，民眾到銀行開戶、辦理信用卡時，都會填寫很多書面申請表；去醫院看病，院方握有民眾的病歷資料；各企業人事部門具有許多人事資料以及應徵者的詳細的個人相關資訊，此外，業務手中也掌握了許多客戶資料。因為這些紙本資料，都有當事人的詳細個人資料，管控這些資料的風險，就是很重要的事，首先，我們就要了解哪些是機密，而企業內的機密資料又放在哪裡。此外，個人資料進行各種個資處理、利用、儲存甚至刪除等，也都是企業應積極面對的問題。

先要確實了解機密資料涵蓋的範圍

企業內部的文件種類可能有很多種，像是會議記錄、報價單，交易明細、財務報表、產品研發記錄、庫存表、各式帳單、發票，以及人事資料、客戶名單、病歷表、申請書等，不同產業、部門都有各自的需求與考量。

勤業眾信企業風險管理部副理陳鴻棋表示，先要盤點清楚企業內部到底有多少紙本文件，並針對商業機密與個人資料清點，以確定風險範圍。接下來開始分辨文件的機密文件等級程度，舉例來說，像政府會將文件分為絕對機密、極機密、機密、一般，藉由分級制度將各類文件做出不同的管控方式。

此外，文件上有清楚的機密等級提示，也能夠幫助企業員工了解這份文件的重要性，並依照規定處理。

更發人省思的是，除了一般我們常用的A4文件，平日我們辦公室中常用的便利貼，上面寫著剛抄下來的個資訊息，又該如何處理呢？甚至是員工桌上的筆記本、行事曆、便條紙，甚至是名片、信封袋等包含個人資訊的各式紙類，又要如何納入管控呢？

不只是便利貼、筆記本、行事曆、便條紙，有些e化程度較差的企業，可能僅有少部分項目做到電子化，多數工作仍習慣使用紙本作業進行，像是帳本、單據等，這些零散的文件，更是多數企業可能都會忽略之處。

企業應將這些包含個資的各種載體，比照個資文件處理，放置在上鎖的抽屜內，並且不可隨手丟棄於垃圾桶。相信這種工作習慣的改變，會是未來企業控管的一大挑戰。

制訂資訊安全與個人資料保護原則

做好管理流程，可以確保資料被妥善管理、保管與備份。銀行或是重視風險管理的大企業，會針對企業的內稽內控方面，成立稽核單位或是企業風險管理單位，根據本身企業的工作流程，評估各個企業環節的所有風險，並遵循法規要求，訂定對應的政策和指導方針，以保護個人隱私資料，進而改善內部控制流程、提高風險管理安全。

多數中小企業雖然沒有這樣的部門來做通盤的管控，機密資料通常會由主管、個人或是各單位自行保管，但各部門主管也應加強商業機密與個資安全的風險意識，從小地方開始做起，像是資料分級就很重要，避免這些實體資料完全都沒有防護。

其實，從文件產生、使用到歸檔與銷毀，都需要有一定的程序，才能減少發生的可能性。在ISO 27001資訊安全管理系統規範中，其實也有一些關於文件的部分可以當作參考。還有一種簡單的方式，就是從這些新聞事件開始做檢討，改進以往沒注意的問題點。

員工的教育訓練與風險意識很重要

大部分的資安問題其實是人為的疏失。內部資安事件的主要原因是缺乏資訊安全的知識與不完全清楚個人的角色與責任。企業內也應定期舉行教育訓練，了解個人企業責任、義務與法規，並幫助大家意識到文件管控的責任。

過去企業曾經這樣教育員工，離開座位要鎖定電腦、設定螢幕保護程式等，同樣的，要離開座位時，桌上的機密資料需存放在上鎖的文件櫃裡，如果散布在辦公環境四周，有可能讓工讀生、訪客，以及打掃辦公室的人，便可以將資料翻閱或抄錄，造成洩密。

從這些工作習慣的角度來看，各員工對於重要機密資料的保管應落實；重要機密文書呈核等，不應假手他人傳遞；另外像是業務員外出時，重要文件也不應隨意擺放，在人多的場合也應該避免他人窺視。

像是萬芳醫院發生將病歷當便條紙的錯誤事件，很可能是分類時所發生的錯誤，因為員工不認為它是機密文件，或是知道但不小心放錯。這樣的事件也顯示出許多企業共通的問題，資安意識不足，以及回收紙的安全性不足，是否需要派人審核等，都足以令企業警惕，

銷毀、監控也是不可輕忽的流程

重要文件沒有銷毀，反而拿來當成回收紙，機密資料毫無機密性可言。

在廢棄文件的處理方面，有些企業會將廢棄文件分為機密與一般兩種類別，當包含個資的文件使用完畢後，便立即以辦公室設置的碎紙機碎掉。而一般文件則做為影印回收紙或便條紙來用。

也有企業把機密資料銷毀交由專業公司來處理。負責機密文件銷毀的浤誠企業業務部經理王俊欽表示，企業可將不用的機密文件丟入上鎖的銷毀箱，之後再由專業銷毀公司收取、運輸、銷毀，重要的是這些流程都要有專人看護，才能確保銷毀前都不會被他人任意接觸。

有些企業則是採分部門管理的方式，例如這個部門印出的文件均包含重要機密與個資，因此所有列印文件與紙本都應確實做到銷毀與嚴密的管控；另一個部門都不會印出包含個資的文件，此回收紙就可以回收再使用。這樣的分級管控方式，也是一種省資源與兼顧安全性的作法。

更值得注意的是，別以為紙張銷毀交由外包公司銷毀，企業就可以不用負責，依據個資法第4條規定，「受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用範圍內，視同委託機關。」所以，企業應積極主動地了解機密文件銷毀流程，才能避免這類問題不斷上演。企業選擇委外廠商時，可以特別針對有關個人資料處理的業務，制訂一個評估的標準表，以便評估、篩選出適合的配合廠商。

不論採取什麼樣的方式，這些流程都需要做好有效的控管，才能帶給個人與企業更好的保障。此外，未來面對法規遵循的挑戰，監控、舉證是很重要的問題，如何證明企業對於個資防護的管控程度，也是一大考驗。舉例而言，機密資料存放的檔案室，人員進出該如何管控，是否需要部署合適的監控工具，像是裝設攝影機與門禁系統，以便能在發生問題時可以查詢相關記錄。

勤業眾信企業風險管理部副理陳鴻棋表示，要能清點出機密紙本文件的流向，並持續做好機密分級與流程管理，同時，人員的教育訓練與風險意識也要有所要求。

浤誠企業是專門負責機密文件銷毀的廠商，該公司業務部經理王俊欽表示，後端銷毀過程是企業容易忽略的範圍，各企業應重視機密文件銷毀過程，並要求後端廠商提供相對應的防護措施。

新版個資定義小提醒

新版個人資料保護法中的個人資料的定義，包括基本的個人姓名、出生年月日、身分證統一編號、護照號碼、聯絡方式，還包括了特徵、指紋、婚姻、家庭、教育、職業，甚至是健康檢查、醫療、病歷、基因、性生活、犯罪前科、財務情況、社會活動等，以及其他可以直接或間接識別出個人的資料，不論紙本或數位形式，都屬於個資法的保護範圍。

目前紙本資料管控上，容易輕忽的小地方

● 文件列印後，忘了拿取。

● 回收紙的不當使用。

●文件散落在工作區周遭，未作好歸類或收納。

● 檔案櫃、抽屜未上鎖。

●將個資、帳密寫在便利貼、筆記本上，沒有收好。

● 沒有養成將機密資料分級的習慣。

● 缺乏列印權限的管控機制。

● 未徹底掌握文件運送、銷毀的過程。

相關報導請參考「回收紙的大問題」