114年1月某機關於辦理活動期間，將活動簡章存放於Google 雲端空間供民眾下載，惟承攬廠商亦將包含個人資料之報名者資訊上傳至該雲端空間，且存取權限設定未臻完善，致未授權之使用者得以存取相關資料，導致民眾個人資料外洩事件。事發後，該機關立即移除雲端空間內之報名者資料，並依據「個人資料保護法」相關規定通知受影響當事人，以降低潛在影響與風險。

【足資借鏡】

政府機關辦理短期活動時，為提升作業效率與便利性，運用雲端空間進行文件分享與報名資料管理，惟若未妥善控管存取權限，可能導致敏感資料外洩。建議機關參考「個人資料保護法」與「政府機關雲端服務應用資安參考指引」相關規範，使用雲端空間儲存資料時，應確保公開文件與涉及個人資料之檔案存放於不同雲端目錄或獨立儲存空間，同時設定適當存取權限，以防範未經授權之第三方存取或下載。

此外，委託廠商辦理活動時，應於合約中明訂個人資料保護責任，包含資料存放方式、存取限制、保存期限及刪除機制等，並於活動結束後即辦理個人資料移除或歸檔作業，不得將個資存放於雲端儲存空間，以降低個人資料外洩風險。

資料來源：資通安全網路月報