接下來我們來看看另一個個資風險案例
先前曾提及ISO 29100中資料最小化(Data minimization),蒐集限制(Collection limitation)的原則, 除了在蒐集時可善用外, 其實對於查詢畫面的呈現也可以使用.
以往在資訊查詢畫面的設計, 總是將所有蒐集到的資料, 一次呈現. 但是真的要看到完整資料方可進行工作嗎?
個資法實施後, 很多資訊同仁都可能會被問到, 是不是所有個資的查詢紀錄都可以被紀錄下來, 先不管資訊人員後端DB與系統管理的問題, 前端的使用者查詢的紀錄, 就有很多沒有被記錄下來, 不是嗎?
常見的理由是, 查詢太多了紀錄下來必定影響效能, 所以目前只針對修改及刪除有紀錄, 查詢是不做紀錄的.
你是否遇到相同狀況? 無法改變嗎? 下回將就業務面與風險控管角度與大家做進一步討論.
iThome鐵人賽
看影片追技術