▲健保署個資外洩案,政風室主任說明。(圖/記者嚴云岑攝)
記者嚴云岑/台北報導
健保署個資外洩疑雲,媒體報導稱謝姓科長107年8月在短短6天內查詢13萬筆資料,健保署政風室今(19)日公布初步調查結果,該查詢係因評估公務員退休金改革所需,屬於正常公務範圍,但政風室主任蔡秀卿也強調,在對全署3000多名員工進行盤點後,以業務所需權限最小化原則,關閉備用帳號查詢權限,但關閉多少帳號則不便透露。
該案件是調查局接獲檢舉,疑似涉案人包括健保署前主秘葉逢明、健保署承保組科長謝玉蓮、承保組職員李仁輝等3人,葉逢明已退休,謝玉蓮和李仁輝目前都還在職。健保署長李伯璋說,2名在職人員已經調離主管職,也進一步封鎖調閱資料權限,至於外洩資料的內容和用途還要等檢調調查。
蔡秀卿表示,目前僅先對媒體關心的謝姓科長案進行調查,承保組李姓職員因僅查詢3萬5千多筆數量有限,目前還在了解原因。而謝姓科長業務原本就與承保有關,因此依法發配帳號權限,可依法進行查詢,扣除媒體關注的10萬筆,餘下筆數則分散在13年間查核。至於外界關心的葉姓前主秘,則從來沒有查詢的帳號權限。
現階段本署已於112年1月16日完成全署同仁帳號權限使用現狀盤點,以業務所需權限最小化為原則,重新調整權限配置。
蔡秀卿提到,目前相關調查仍在進行中,健保署署本部與6個分區業務組同仁只要涉及承保業務,都有查詢民眾資料權限,但開放查詢種類各有不同,此次內部調查已重新檢視同仁權限,以業務所需權限最小化為原則,重新調整權限配置,但不方便透露關閉人數。
健保署表示,本署為資通安全A級機關,向來極為重視資訊系統安全管理,已推行資通安全管理制度ISMS多年,並通過國際資通安全管理標準ISO/IEC 27001:2013資安認證合格獲有效資安證照,每年辦理2次內部ISMS稽核作業及委託公正第三方進行2次外部稽核等,網路採內外網實體隔離政策,內部網路禁止與Internet連接,內部各資通系統皆有嚴密的權限管控,收入面及支出面的個人查詢Log檔,會完整保存查詢紀錄,供日後稽核管控等,健保署虛心接受外界各項建議,整體資安架構及機制我們將持續強化,持續優化我們的資訊安全及人員管理,以保護全民健保資料。
讀者迴響