Morgan Stanley資料中心退役事故：硬碟與伺服器沒有妥善處理，為什麼會變成高額罰款？

美國證券交易委員會SEC在2022年指出，Morgan Stanley Smith Barney在處理含有客戶個資的設備時，未能妥善處置相關裝置，並同意支付3,500萬美元罰款。

SEC說明，事件可追溯至2015年，該公司多次委託沒有資料銷毀經驗的搬運與倉儲公司，處理數千顆硬碟與伺服器。這些設備含有數百萬客戶的個人資料。

另外，美國OCC也曾在2020年對Morgan Stanley Bank與Morgan Stanley Private Bank裁罰6,000萬美元，原因和資料中心退役管理、風險控管與第三方監督不足有關。

這類事故的問題不只在於硬碟本身，而是企業把資料中心退役當成一般搬遷或清運，忽略了資料載體的完整控管。

第一，退役設備必須先被視為資料安全風險，而不是廢棄物。伺服器、儲存陣列、備份硬碟與工作站都可能保存大量敏感資料。

第二，第三方廠商不能只看搬運能力，也要確認是否具備資料清除、硬碟銷毀、序號清點、證明文件與現場控管能力。

第三，設備離開企業場域前，最好完成資料清除、物理銷毀或現場見證程序，避免資料載體流入二手市場後才發現問題。

第四，企業應保留設備清單、處理紀錄、影像紀錄與銷毀證明，讓資訊安全、稽核與管理單位都有可追溯依據。

若企業要處理機房退役、伺服器回收或大量硬碟下架，建議先進行設備盤點，確認資料載體數量與風險等級。

高敏感資料可安排到府銷毀、現場見證與錄影存證；仍具再利用價值的設備，則可評估資料清除後再回收或再利用。

這起案例提醒企業，資料銷毀不是IT專案的最後小步驟，而是整個資產退役流程中最需要被控管的一環。

資料來源：SEC 2022年9月20日新聞稿、OCC 2020年10月8日新聞稿。