上億個資外洩，促Sony增設資安長

索尼（Sony）PlayStation Network（PSN）在4月20日遭駭客入侵，被竊取7千7百萬筆PS3及Qriocity音樂隨選服務使用者的個人資料；在5月3日又被揭露，Sony旗下線上遊戲子公司網站Sony Online Entertainment（SOE）有2,460萬筆個人資料遭到駭客竊取。

至於飽受爭議的信用卡資料是否外洩，Sony先前7,700萬筆的外洩個資中，仍未確認其中1千萬筆信用卡資料是否外洩，但在線上遊戲SOE外洩的資料中，則確認駭客成功取得23,400筆、從2007年後逾期的信用卡資料，美國以外有12,700筆的信用卡卡號及有效日期資料遭竊。

也就是說，Sony迄今遭到外洩的個資已經超過1億筆，外洩個資內容包括用戶名稱、地址、電子郵件信箱、生日、性別、電話號碼、帳號、密碼等，甚至有外電報導，連PSN安全提問的問題也在外洩資料之列。Sony在第一波暫停PSN服務大約3天後，才對外公布個資外洩的事實。

設資安長綜觀全局
面對這場史上最大規模的個資外洩事件，日本Sony總公司則在日前一場記者會中對外表示，在此次個資外洩後，該公司將增設資訊安全長（CISO）一職協助處理後續個資外洩事件，並直接回報給資訊長Shinji Hasejima。

由於美國加州法規規定，企業一旦有個資外洩，必須第一時間告知使用者，美國加州法院也已接到來自Sony用戶的集體訴訟，控告Sony未能妥善保存使用者的個資。

從Sony沒有立即因應法規、告知使用者其個資外洩而遭到集體訴訟的事件，而Sony後續緊急因應措施之一便是設立資訊安全長（CISO）來看，長年擔任跨國銀行負責資訊安全和法規遵循主管、現任星展銀行合規及企業保安部副總裁徐子文表示，「這證明Sony在法規遵循與資安管理上面，缺乏一個能夠綜觀全局、掌控資安管理與落實法規遵循角色的資安高階決策主管，讓Sony面臨這種緊急危機時，必須緊急設立資安長這樣的角色。」他說。

徐子文認為，資訊安全的確是需要IT技術來協助解決資安問題，但「資安本身其實是一個法規遵循以及資安管理的課題，」他說，尤其是法規遵循更是企業生存的必要限制條件。如果企業認為資安只是技術問題時，便會忽略法規遵循和資安管理的必要性。實例就是，Sony得面對因為違反法規，遭到集體訴訟、進行高額求償。

徐子文認為，資安長的權力來自組織的位階和高階主管的授權，事實上，資安長是否具有CXO位階或是設立在資訊長之下都不是重點，關鍵在於是否具有獨立決策功能，「只要資安管理和法規遵循的決策，都不要Bypass資安長，資安決策才會有影響力。」他說。

臺灣BSI副總經理蒲樹盛表示，美國資訊長和資訊安全長是唯二薪資持續增高的IT職位，這也證明企業對IT治理與資安管理都有強烈的需求。

但蒲樹盛說，臺灣許多已經通過ISO 27001資安認證的企業，或許都有資安管理代表以及相關的組織，但因為IT部門普遍仍被視為成本或後勤支援部門，「當資訊長角色在臺灣企業都不普遍時，更遑論資訊安全長的存在。」蒲樹盛說道。文⊙黃彥棻