健保查閱個資祭出4強化策略 職員權限最小化原則

健保署員工涉洩漏個資，啟動行政調查內控機制，健保署說明無資料外洩證據，為資安維護，將職員業務查閱權限以最小化。圖為民眾申請虛擬健保卡資料照。（圖／翻攝自健保署臉書）

【新唐人亞太台 2023 年 01 月 19 日訊】衛福部健保署員工涉洩漏個資，啟動行政調查內控機制，健保署今天說明，無資料外洩證據，關於資安維護及防止個資外洩，祭出4項強化策略，同步將職員業務查閱權限以最小化為原則。

健保署職員疑洩查民眾個資案，健保署啟動危機處理，依衛福部長薛瑞元指示成立專案小組，進行內部行政調查及檢視內控機制，全面盤點查詢健保資料權限，檢視合宜性並即刻調整授權範圍。

健保署政風室主任蔡秀卿今天上午接受媒體聯訪時表示，初步行政調查涉案謝姓科長於民國107年8月3日至8月8日有大量查詢約10多萬筆，但期間內查詢目的有公務依據，也無證據顯示有資料外洩情況。

蔡秀卿說明，日前媒體報導查閱國安軍情等單位，因屬公務機關，在以投保單位為公務機關設定查詢條件批次調閱資料下，一併調閱，這項調閱現階段查有相關公務辦理依據，以及分析統計結果可佐證，應該是為了統計分析而調檔，非刻意針對特定國安機敏人員而調閱。

蔡秀卿說，經初步調查結果，並沒有這筆資料以隨身碟USB存取攜出的紀錄，相關資料健保署將提供檢調單位做參考認定，全案進入司法程序，尊重司法調查，全力配合偵辦，期待檢調釐清案情。

蔡秀卿表示，正在持續審慎檢討研改資安維護及防止個資外洩等內控機制，現階段進行4項強化，包含加強管理調閱機敏資料授權程序，建立系統提醒機制；強化大量、機敏資料調閱及下載審核機制，依資料量及機敏度分訂核准層級。

另外也強化大量、機敏資料攜出管理，持續評估更佳化偵測作法；資料調閱依業務目的不同，遮蔽個人資訊欄位顯示範圍，避免過多個資揭露等。健保署網路採內外網實體隔離政策，內部禁止與外部連接，收入及支出面個人查詢Log檔，完整保存查詢紀錄，稽核管控。

蔡秀卿表示，健保署具有查閱職員人數並不少，已於112年1月16日完成3000名全數職員帳號權限使用現況盤點，以業務所需權限最小化為原則，重新調整權限配置，關閉僅是備用開放者權限，因相關調查報告仍在進行，暫時無法公開相關數據。

（新聞來源：中央社）