鼎新電腦集團研發總裁室品質總監楊耀傑

要達到個資去識別化的效果,除了應用具有相關功能的產品,投入人力、自行修改程式當然也是一種解法,不過考量到開發完成的時間、所需成本,很多企業可能會望之卻步。那麼,專門開發套裝商用軟體的廠商如何因應?

事實上,現在已有一些軟體公司提出解法。例如,鼎新電腦近期即針對旗下多款套裝商用軟體,推出了個人資料保護模組,其中包含資料遮罩功能。

開發過程中會遭遇到哪些問題?鼎新電腦集團研發總裁室品質總監楊耀傑表示,以遮罩技術來說,他們的產品採用了MVC(Model-View-Controller)的開發模式,從Controller的部分改掉就好,然而,最大困難在於有哪些資料欄位需要遮蔽,以及該怎麼遮。

同時,他們還需要考量:這樣的功能在使用上,不能對鼎新原有套裝產品的運作,產生太大衝擊,必須將影響降至最低,使用戶能夠順利更新版本。最後,是讓個資防護的施行,在不同產品之間必須一致,該公司開發人員也花不少時間討論相關的規則與邏輯,讓遮罩的機制能有統一的作法。

而最後鼎新針對個資法需求所開發出來的功能,成為產品的選購模組,包括:在前端使用介面提供機敏資料防護(個資欄位遮蔽),並且增加相關的保護機制,例如資料加密傳輸與系統操作日誌保留機制。

若企業欲自行修改應用程式,或開發具備遮罩功能的應用程式,楊耀傑提出以下建議:

1.資訊部門需與企業系統使用者、法務部門充份溝通,識別需要進行遮罩防護的資料,以避免重蹈日前新聞案例:因遮罩過多資料,導致無法執行業務行為(例如判決書、獎狀)。

2.針對欲遮罩的資料進行分類、規畫合適的遮罩方式,並實作成服務元件,供系統執行遮罩時呼叫。此作法可以提高遮罩一致性,同時避免重工。

3.遮罩僅為資安防護之一環,資訊部門尚需考量系統各面向的資安風險,如儲存、傳輸、備援……等。


相關報導請參考「個資遮罩:既保護個資,也讓流程不打結」


Advertisement

更多 iThome相關內容