（中央社記者沈佩瑤、陳婕翎台北28日電）中央健保署員工疑涉洩個資，署長石崇良說，事件檢討已祭出3項強化策略，包括大量資料閱覽採事前申請、事後稽查、同步掃描電郵是否夾帶個資，也會檢討機敏人員定義。

這起資安事件目前仍在檢調偵辦中，健保署今年春節前啟動行政調查內控機制，當時說明涉案職員查閱13萬筆資料未存取攜出，無洩漏個資證據；春節後，健保署人事異動，署長由石崇良接任。

石崇良日前接受中央社專訪指出，健保資料有其特殊性，又分成承保資料、醫療資料2大類，前者是納保的個資、後者是就醫紀錄；因業務性質不同，這2個系統直接分開，系統跟系統之間沒有直接連結，並採「最小授權、最小揭露」原則，無法查詢超出業務範圍的內容。

至於攜出資料的管理，石崇良說，每台電腦都鎖定無法讀取隨身碟USB，考量業務上會有攜出需求，如進行統計分析等，可另外申請USB，因此會有紀錄顯示某人曾申請USB、下載攜出哪些資料，事後也要求繳回銷毀。

發生健保資料外洩事件後，健保署重新檢討資安維護及防止個資外洩等內控機制，進行3項強化策略。石崇良表示，首先是大量資料閱覽下載部分，要求「事先申請、事後稽查」，事前須經主管確認同意，定期將曾閱覽或下載大量資料者名單，事後提供主管比對。

再者，石崇良說，健保資料系統屬內網，除非經過特殊手段才可能從外部讀取，但是對外聯繫還是需要使用電子郵件，可以利用掃描方式確認及提醒信件中是否夾帶個人資料，同樣留下紀錄。

最後則是將重新檢討機敏人員定義。石崇良表示，技術上絕對可以做到覆蓋、無法查詢個人資料，重點在於要擴及哪些層級要註記，元首當然是機敏人員，至於五院院長、各部會首長或公眾人物等，都還在討論中。

石崇良強調，要避免註記後，反而造成「此地無銀三百兩」的狀況，沒註記可能還不見得會知道是特殊身分，而且涉及後續管理機制，會有相關配套措施；另外也定期接受內外部稽核，確認落實各項資安措施。（編輯：陳清芳）1120228