三菱電機子公司三菱電機informationsystems公司所研發的圖書館系統發生個資外洩事件

  三菱電機informationsystems公司所研發用於圖書館的系統封包MELIL/CS造成引進系統的圖書館發生個人資訊外洩與Web館藏檢索系統當機的系統障礙。從2010年7月到9月因系統障礙,總共有3間圖書館,共2971人的姓名、出生日期、住址、電話及圖書名稱等個人資料外洩。

 

  有關個人資料外洩的經過,是因為三菱電機informationsystems公司在研發MELIL/CS系統時,先在引進系統的圖書館進行系統測試,於測試之後再將系統程式帶回公司修改,此時就不知情的將存有個人資料的程式帶回公司,也把這些資料登錄到產品的原始碼上。因此將進行測試的2間圖書館使用人約210人的個人資料登錄於該產品的原始碼上。
但發生個資外洩的直接原因更在於負責三菱電機informationsystems公司產品運作、維修的銷售伙伴千代田興產公司,該公司所設置的伺服器完全沒有設定權限區分,甚至不需密碼就可以連接該公司伺服器存取資料。因此發生第三人進入該公司伺服器,下載3個引進該系統圖書館約3000人的個人資料。

 

  另外對於Web館藏檢索系統當機的發生,是因為圖書館使用人為了獲取圖書館新增加館藏圖書的資訊,以自動蒐集資訊程式直接存取館藏資料庫所發生。三菱電機informationsystems公司當初在設定網路連接圖書館系統,是以一次存取可以連接10分鐘的方式,所以只要以連接頻率高的機械性存取,只要超過資料庫的同時連接數的設定數值,就會發生存取障礙。

 

  對於三菱電機informationsystems公司系統設計失當及千代田興產公司未設定伺服器存取權限所造成個人資料外洩事件,因為這兩家公司都是屬於財團法人日本情報處理開發協會(JIPDEC)的取得隱私標章企業,所以由JIPDEC依據隱私標章營運要領中的「有關賦予隱私標章規約」第14條規定,各處以由2011年1月起3個月的隱私標章停權處分。

相關連結
※ 三菱電機子公司三菱電機informationsystems公司所研發的圖書館系統發生個資外洩事件, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=5455 (最後瀏覽日:2024/05/19)
引註此篇文章
你可能還會想看
智慧財產權盡職調查(IP Due Diligence)

  智慧財產權盡職調查(Intellectual Property Due Diligence, IP DD),又稱智慧財產權稽核(IP Audits)。所謂盡職調查(Due Diligence, DD)係指:即將進入投資或購買交易前,投資者或其委託人透過事實證據所進行與投資或購買相關的評估。評估內容包含公司結構、財務狀況、業務、稅務、人力資源等,亦涵蓋有形資產與無形資產。其主要目的在於釐清該投資或購買是否存在潛在的法律風險。隨智慧財產權的概念愈來愈成熟,智慧財產權盡職調查也益發重要。智慧財產權盡職調查的內容常會包含:財產權(如:註冊地域、質押或保全情形)、授權或轉授權限制、申請之時期、優先權效期、爭議或訴訟(如:是否存在專利權無效之風險)。智慧財產權盡職調查的資料蒐集方式除了調閱智慧財產權申請記錄(file wrapper)、保密契約、授權文件,常見調查方式亦包含訪談重要員工和審閱發明人的僱傭契約。   假若沒有善盡智慧財產權盡職調查,很可能會後續引發潛藏的風險,諸如:估值錯誤、交易可能會因為未提前排除繁冗細節而遲延進而影響投資人意願、可能會導致必須重新談判,最嚴重可能必須放棄整個交易。未善盡智慧財產權盡職調查著名的實例是蘋果(Apple)與唯冠的iPad商標爭議。2006年蘋果策畫平板電腦並希望以iPad為名,台灣的唯冠集團早在2000年起於多國註冊iPad電腦商標。2009年蘋果透過英國子公司以3.5萬英鎊收購唯冠的iPad全球商標,並於2010年推出iPad。因為蘋果的智慧財產權盡職調查疏漏,而未發現iPad於中國大陸之商標權屬於深圳唯冠公司而非台灣唯冠,所以不能進入中國大陸市場。最後,蘋果與深圳唯冠以6,000萬美元鉅額和解。從iPad案可窺知智慧財產權盡職調查之重要性。

歐盟行動健康服務(mHealth)眾人引頸期盼的下一步

  歐盟於2015年5月9日在拉脫維亞的里加舉辦了為期一週之「eHealth Week」研討會,包含由歐盟輪值理事會主辦之高階eHealth會議,以及由歐洲HIMSS (Healthcare Information and Management Systems Society)主辦之「WoHIT (World of Health IT Conference & Exhibition)」兩大活動,而2015歐洲mHealth高峰會為其中備受矚目的重要主題活動。該高峰會以推動歐洲mHealth進程之執行為領導思考核心,相關利害關係者(包括公部門、ICT產業、健康保健專業學者)於5月12日以mHealth綠皮書公眾諮詢結果為基礎,針對歐盟目前執行中以及未來可能採取之政策為討論,主要議題包括:1.所蒐集資料之隱私與安全保護。2.生活康樂型apps產品之安全性與品質管控。3.網路經營者對於mHealth市場之進入障礙。   針對資料之隱私與安全保護議題,公眾諮詢結果顯示,關鍵問題在於mHealth apps蒐集使用者資料是否有足夠的隱私與安全保障措施?與會者並認為此問題在資料的第三人再利用情形尤為重要。對此歐盟執委會表示將展開就mHealth apps訂定以產業為主導、範圍涵蓋資料隱私與安全性之行為守則,以建立使用者對mHealth apps之信任感,並提升app開發者對歐盟資料保護法規之遵法意識。   針對生活康樂型apps(包括健康照護相關app)產品之安全性與品質管控議題,透過與會者現場意見調查顯示,認為健康照護相關apps之安全性、品質與可靠性由於欠缺臨床佐證,導致就apps的目的與功效會有錯誤的宣示。值得注意的是,制定法規控管並非多數意見,大多數與會者認為以訂定指引或標準的方式,作為生活與康樂型apps的安全性與品質之依循方針較為妥適。對此歐盟執委會表示會持續跟進此議題並與相關利害關係者討論下一步之行動。   針對網路經營者進入歐盟mHealth市場議題,與會者認為網路經營者將面臨複雜的進入障礙,諸如歐盟相關法規架構的不清與零散、mHealth方案與設備的互通性與開放標準的欠缺等。歐盟執委會明確表示,支持網路經營者進入mHealth市場,目前歐盟正在進行的「Startup Europe」等相關倡議措施,即是以強化網路及資通訊業者商業環境為目的,提供網路經營者法規諮詢、投資媒合、商業模式育成等協助,以降低網路經營者所面對之市場進入門檻並有機會展現其新創能量。

加拿大交通部提出加拿大自駕系統安全評估文件

  加拿大交通部(Department of Transport Canada)於2019年1月發布「加拿大自駕系統安全評估(Safety Assessment for Automated Driving Systems in Canada)」文件,該文件將協助加拿大企業評估其發展高級(SAE第三級至第五級)自駕層級車輛之安全性,並可與美國相關政策進行整合。該文件指出,因相關技術尚在發展之中,不適合使用強制性規範進行管制,因此將利用引導性之政策措施來協助相關駕駛系統安全發展。加拿大交通部於文件中指出可用於評估目前自駕車輛研發成果之13種面向,並將其分類為三個領域: 自駕技術能力、設計與驗證:包含檢視車輛設計應屬何種自駕層級與使用目的、操作設計適用範圍、物件及事件偵測與反應、國際標準、測試與驗證等。 以使用者為核心之安全性:包含安全系統、人車界面與控制權的可取得性、駕駛/使用人能力與意識教育、撞擊或系統失靈時的運作等。 網路安全與資料管理:包含管理網路安全風險策略、售後車輛安全功能運作與更新、隱私與個資保障、車輛與政府分享之資訊等。   加拿大交通部鼓勵企業利用該文件提出安全評估報告並向公眾公開以增進消費者意識,另一方面,該安全評估報告內容也可協助加拿大政府發展相關安全政策與規範。

美國加州日前開始審查輕量自動駕駛運輸載具應用之測試申請

  美國加州行政法辦公室(the Office of Administrative Law)於2019年12月17日宣布,根據日前通過之修訂規範,該州車輛管理局(the Department of Motor Vehicles)將審查州內公共道路上進行輕型自動駕駛(下稱自駕)運輸服務商業化應用測試之申請,換言之,業者如取得車輛管理局之核准,可以測試重量未達10,001磅之自駕運輸車輛(如一般客車、中型貨車、可載運雜貨類商品的客貨兩用車等)服務。另外,業者如欲就該自駕運輸服務收取運輸費用,則必須另向車輛管理局申請佈署(deployment)許可,即商業化或供公眾使用之許可。   不論何種自駕運輸車輛服務之測試,均須遵循現行測試、佈署之申請程序要求,並根據車輛管理局的核准內容進行有或無安全性駕駛人(safety driver)的自駕運輸服務測試,簡要整理不同規範要求如下: 如為有安全性駕駛人之測試與應用,有以下要求: 證明車輛已經曾在符合應用目的之情境(如駕駛環境)下進行測試。 維持測試駕駛人(test driver)的培訓規劃,並且證明每位測試駕駛人均完成培訓。 確保測試駕駛人維持潔淨(clean)的駕駛記錄。 確保測試駕駛人在測試期間乘坐在駕駛座上監控車輛的運行狀況,並在有需要的時候可以即時接管車輛。 須提交年度脫離(或譯為解除自駕)報告(disengagement report),且如有發生碰撞,須於10日內提交碰撞報告予車輛管理局。   如為無安全性駕駛人之測試與應用,有以下要求: 提供測試自駕運輸服務所在地方當局之書面通知以茲證明。 證明自駕測試車輛符合以下要求:   (1)車輛與遠端遙控操作者間具有通訊連結。 (2)車輛與執法部門間的通訊方式。 (3)製造商將如何監控測試車輛之說明 提交一份與執法部門如何互動交流的計畫。 證明自駕測試車輛符合聯邦機動車輛安全標準(FMVSS),或提供國家公路交通安全管理局(NHTSA)之豁免監管證明。 證明自駕測試車輛可以在沒有駕駛人存在的情況下可以自主運行,並屬於美國汽車工程師協會(SAE)標準等級4、等級5之車輛。 證明測試車輛已經曾在符合應用目的之情境(如駕駛環境)下進行測試。 通知車輛管理局將要測試營運的區域範圍。 維持遠端遙控操作相關培訓規劃,並證明每位遠端遙控操作者均完成培訓。 須提交年度脫離報告,且如有發生碰撞,須於10日內提交碰撞報告予車輛管理局。   如自駕運輸服務擬商業化或供公眾使用,申請佈署之相關要求如下: 證明車輛:   (1)配備自駕車輛資料紀錄器,此技術是根據加州車輛法規(California Vehicle Code)設計來偵測並反應道路實際狀況 (2)符合聯邦機動車輛安全標準或提供國家公路交通安全管理局之豁免監管證明。 (3)符合現行關於網路攻擊、非經授權侵入或錯誤車輛控制指令之防護、偵測與回應等產業標準。 (4)製造商曾進行測試與驗證,並有足夠信心將車輛佈署於公用道路上。 提交一份與執法部門如何互動交流的計畫複本。 如果車輛不需要駕駛員,製造商必須證明其他事項:   (1) 車輛與遠端遙控操作者間具有通訊連結。 (2) 當碰撞事故發生時,車輛可以顯示或傳輸相關資訊予車輛所有人或操作員。   綜上所述,若要在加州進行自駕運輸車輛服務測試,須視其服務型態及是否涉及佈署,以遵循不同規範要求,申言之,服務採行有無安全性駕駛人與是否商業化或供公眾使用,二者為併行關係,舉例來說,如業者擬佈署有安全性駕駛人之商業運輸服務,則須同時符合有安全性駕駛人之測試與應用以及佈署等要求。加州對於自駕車輛運輸服務商業化之措舉,值得我國借鏡以完善自駕車輛運輸應用之推動。

TOP