防個資外泄情事再發生 健保署祭4大改進措施

健保署政風室主任蔡秀卿表示，目前正持續檢討資安維護及防止個資外泄等內控機制。（陳人齊攝）

已退休的健保署前主秘葉逢明，被控和健保署承保組科長謝玉蓮、承保組職員李仁輝，涉嫌從內部資訊系統偷查民衆健保個資，包括警調憲與國安局情治人員，且已長達13年。健保署今除說明初步調查結果，也公佈內部精進四大措施，目前已將全署3000名同仁的調閱權限限縮，將個人業務權限最小化。

健保署政風室主任蔡秀卿表示，目前正持續檢討資安維護及防止個資外泄等內控機制，包含加強管理調閱機敏資料之授權程序，建立系統提醒機制；強化大量、機敏資料調閱及下載之審覈機制，依資料量及機敏度分訂覈准層級；強化大量、機敏資料攜出管理，持續評估更佳化偵測作法；依資料調閱業務目的不同，遮蔽個人資訊欄位顯示範圍，避免過多個資揭露等四項。

蔡秀卿說，健保署已於112年1月16日完成全署3000名同仁帳號權限使用現狀盤點，將過去業務同仁備用的調閱權限先關閉，並以業務權限最小化爲原則，重新調整權限配置，至於有多少員工的權限被調整，因檢調仍在進行調查，目前仍不便透露。

至於10多萬筆的個資是否曾遭人用USB攜出？蔡秀卿表示，目前並未查到以USB存取攜出的LOG紀錄，至於LOG資料有無可能遭「高手」抹去？她強調，本署爲資通安全A級機關，內部網路禁止與Internet連接，各資通系統皆有嚴密的權限管控，收入面及支出面的個人查詢Log檔，會完整保存查詢紀錄。