公務機關掌有龐大民眾個人檔案資料，依個人資料保護法規定，為防止個人資料被竊取、竄改、毀損、滅失或洩漏等風險，對個人資料之蒐集、處理或利用，自應尊重當事人之權益，依誠實及信用方法為之，並善盡管理維護之責，而公務機關或非公務機關違反規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。經查：

(一)公部門近期重大資安事件涉及個資外洩，倍受各界關注

由近年來監察院辦理政府部門資通安全調查案件及新聞媒體多次報導之政府機關重大資安事件(詳表3.2.1)觀之，主要發生型態包括非法入侵(如：部分醫療院所遭駭客入侵)、網路攻擊(高中以下學校教育網絡遭受殭屍網路攻擊)、人為疏失(如:未落實標準作業程序)及管理不當(如：安全維護作業疏漏、管理制度欠完善或鬆散、安全防護措施欠周延及員工不當行為)等等，因個資外洩事件涉有個人隱私曝露之風險，頗為各方所關切。

表3.2.1 近年來公部門重大資安事件一覽表

時間

事件摘要

備註

112-05-16

媒體報導財政部電子發票整合服務平台，使用同組營利事業預設密碼、即可登入，可能衍生資安疑慮。

中央社-國內財經

112-05-04

國內部分醫療院所曾發生多起駭客入侵資安事件，造成個資外洩風險，影響病安及國安甚鉅，經監察委員申請自動調查，就主管機關與公私立醫療機構之資安風險控管措施及內控機制、稽核措施等處理情形進行調查。

監察院官網

112-04-12

高中以下學校教育網絡遭受殭屍網路攻擊，造成教學活動受阻恐影響資通安全，經監察委員申請自動調查。

監察院官網

111-12-09

2,300萬戶政資料外洩上網兜售 立委要求行政院積極作為。

聯合新聞網

111-12-08

大漏洞 部桃醫院用中國系統遭駭。

自由時報第A1版-焦點新聞

111-11-11

公視於1年內，續發生遭勒索病毒攻擊及影片庫資料遭誤刪高達41萬餘筆之重大資安事件，凸顯其資通安全管理作業鬆散，主管機關對公視資安管理制度鬆散等問題，均未善盡督導職責，提案糾正文化部及通傳會。

監察院官網

111-06-17

教育部國教署委託國立暨南大學建置維運「學習歷程公版模組」，因未落實標準作業程序、操作人員於移轉學生學習資料過程中參數設定錯誤，又未即時啟動備份機制，釀成81校、7,854位學生、2萬5,210件檔案資料遺失，損及政府形象與公信力。

監察院官網

111-06-13

政府防疫個資管理與外部稽核等作業未盡周妥，函請行政院督促檢討改善。

審計部

109-01-19

108年間接獲情資通報，全國24萬餘名公務人員個人資料洩漏案，銓敘部責無旁貸，促請該部就資安管理制度檢討改善。

監察院官網

107-10-11

監察院糾正教育部對於高醫大學生及校友連署陳情資料未為去識別化安全維護措施，對於陳情事項未本主管機關權責妥為辦理，核有違失。

監察院官網

106-08-16

外交部領事事務局資訊安全維護不周，致出國登錄系統遭入侵，造成民眾出國資料外洩之虞，除戕害政府形象外，亦影響民眾對電子化政府之信賴，爰依法提案糾正。

監察院官網

說 明：表列時間係為專案調查公布日期或事件報導日期。

資料來源：整理自監察院官網、審計部審核通知及相關新聞報導。

近期公部門相繼發生重大資安事件中，以111年10月間傳出民眾戶籍在國外論壇(Breach Forums)兜售案，倍受各界高度重視，主管機關內政部於111年10月29日以即時新聞澄清：「經查證該論壇提供之個資資料，內容格式與內政部戶役政資料差異甚大，相關資料並非從內政部戶政司全球資訊網洩漏，…。」，因不排除由介接應用機關流出之可能，業將名單提供檢調單位；另查法務部調查局112年2月24日發布新聞稿略以：「近來國內個資遭駭客盜賣事件頻傳，…，國外駭客論壇Breach Forums公開兜售我國戶役政資料2,357萬2,055筆，…，證實外洩資料為我國107年4月以前之戶役政資料，再比對資料欄位、資料編碼與格式，部分與戶役政系統原始資料有所出入，…。」，洵據法務部表示，經該部調查局追查相關資料與紀錄後，於112年3月1日移送臺灣臺北地方檢察署偵辦，後續亦持續追查相關買家不法行為。

(二)主管機關允宜檢視個資控管措施之強度，審慎評估相關風險，並就公眾媒體輿論關切議題，妥為研謀因應，俾確保政府施政效能

據媒體報導指出，108年6月22日行政院接獲國家安全會議之通報情資，有心人士於國外論壇公開販售疑似銓敘部持有公務人員個人資料約59萬筆，銓敘部尚未確認屬該部資料，爰於當日依資安法通報第1級資安事件，而110年10月媒體傳出戶政資料外洩事件，內政部及戶政司未進行資安事件通報，表示將俟檢調查明後，由外洩機關依個資法規定通知當事人。

基此，外界質疑各部會個資治理之標準不一，且民眾戶籍係政府核心資料，不法份子可透過資料拼圖，進行金錢詐騙；是以，行政部門應釐清資料如何流失，並進行資安事件通報，以完成復原及損害控制作業。復參閱111年國家資通安全情勢報告，提及前揭戶籍資料遭上網販售案，部分與戶役政系統原始資料有所出入，因無可追查之數位跡證資料，致未能釐清外洩原因。

鑒於公部門資安事件涉及個資外洩案件已為各界關注焦點，行政院允宜促請主管機關檢視資安作業控管措施之強弱程度，審慎評估相關風險，並妥擬因應對策，避免公務部門資訊系統遭突發事件衝擊，引發資料外洩危機；另就公眾媒體輿論關切之議題爭點，允應積極研議補強措施，俾及早化解各方質疑，避免類此事件影響政府施政效能。

(三)允宜儘速完成相關部門資安系統盤點，協助機關發掘潛在威脅，及早研議改善措施，俾有效控資安風險，以防範於未然

本院交通委員會於112年5月22日邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失，如何就全國政府部門各系統進行資安系統盤點及改善」進行專題報告，為增進政府資訊安全考量，通過臨時提案，請數位部盤點政府各部門現有各類向民眾公開、提供民眾登入使用之「網路便民服務系統」登入驗證方式之安全性，並研議以安全性較高、驗證強度較強之自然人憑證、工商憑證作為登錄驗證機制或其他方式提升安全性，於兩個月內提出檢討報告。據此，數位部允宜依上開提案所揭，儘速完成資安系統盤點作業，依限提出檢討報告，俾提升系統登入驗證之安全性，亦有助於機關發掘潛在威脅，及早研議改善措施。

(四)為強化我國整體資安防護能力，主管機關宜督導資安研究院縝密規劃及推動公部門韌性巡檢，俾確保公共服務安全性

為確保各機關依其資通安全責任等級實施資安防護作業，數位部預計於112年起推動韌性巡檢作業，相關經費由該部及資安署編列之跨年期計畫「整體政府資通安全防禦技術暨系統韌性強化計畫」支應，112年度編列2.54億元，捐助資安研究院執行之，有關公務機關巡檢規劃之主要內容包括：

1.資安稽核及輔導：發展機關系統共用機制包括電腦組態基準、資通安全弱點防禦清單、攻擊研析與偵測防護及資安參考指引，辦理數位韌性強化輔導作業及資安技術與支援服務，並維運國家資通安全通報應變網站，以利機關迅速通報與進行緊急應變處置。

2.資通訊系統巡檢：針對民生關鍵資訊系統與機關業務運作系統進行數位韌性健檢作業，及盤點民生關鍵資訊系統之背景資料，以掌握受輔導機關之系統現況，提早發現可能存在架構脆弱點與功能運作風險，俾及時補強。

茲因資安研究院甫於112年初掛牌營運，數位部允宜督導該院縝密規劃巡檢作業，協助政府機關提升資通安全管理與技術認知，以強化公部門資訊系統韌性，維護公共服務安全性。