由個資證據留存探討系統紀錄留存的重要性

個人資料保護法於2012年10月1日上路後，最常被問到的問題就是「企業本身該如何舉證有盡到良善管理保護之責」，在個資法裡面的要求，該項責任並不是由檢察官舉證，而是由企業自負舉證責任，這使得紀錄的留存變成企業IT重要課題，企業可以透過所留存的紀錄抽絲剝繭還原事發真相並由其中舉證良善管理保護之責。

為什麼需要留存紀錄?

根據SANS™ Institute針對全球2000大公司調查指出，驅使企業收集Log的前三項原因，第一是為了要偵測和分析與資訊安全或是效系統能有關的事件；其次則是想藉由IT控制和產生報表來預防資訊系統的濫用，並提供法律上的舉證；第三則是為了法規遵循像是會計法、主管機關要求等要求。

在個資法上路以後，當面臨個資疑慮時，若平日就保有這些資料，在發生事情的時候，就可以透過這些資料來幫助企業分析處理問題。

企業於舉證善盡保管的責任，當個人資料在資料生命週期(蒐集→利用→處理→保存→銷毀)裡，所有的行為都需要留存紀錄，大企業可能還可以將所有的紀錄都保存下來進行後續分析或是留存證據，小企業沒有那麼多資訊資源時，應該從主要放置個人資料的位置為紀錄蒐集的重點。

企業在蒐集資料的過程中應考量下列三個因素

1.      紀錄留存的類別

2.      如何保存紀錄?

3.      如何分析紀錄?

在紀錄留存的類別中，我們可以將行為利用5W1H(人Who、事What、時When、地Where、物OnWhat)方式進行留存。

在保存機制上，選擇適當的儲存方式 - 許多法規都要求紀錄必須保存一定的年限，以PCI DSS資料安全標準為例，它要求企業需針對紀錄資料進行審查，並至少保存一年以上，雖個資法沒有要求紀錄留存的時間，但是企業還是得依據法律追朔期作為保存期限的設計，因此紀錄資料的儲存與查詢，會是能否符合分析的重點。

在時間同步在紀錄保存上也是個重要關鍵，企業必須確保各系統與設備時間的一致性，如果因為記錄的時間不同，在進行分析或舉證的時候，紀錄資料即無法串連，甚至可能會誤導在問題處理時的方向，因此最好在企業內部架設一部時間同步伺服器(NTP Server)，以便所有設備可以進行時間同步。

在紀錄分析部分，企業可以在所保存的紀錄上面透過排程或是即時的方式進行紀錄分析，當然企業還是得從規範內部的異常行為及告警機制。

能保存越完善的應用程式紀錄對於企業來說在面對個人資料問題發生時舉證的資料會越多，但是這也會耗費企業內資訊成本，所以如何在之間取得平衡點也是企業所需在留存應用程式紀錄時所需考量的重點已達到最大的企業效益。