二手設備賣出前沒有清除資料：NHS硬碟外洩案例給企業的警訊

英國NHS Surrey曾因二手電腦內仍留有病患資料而遭主管機關裁罰。媒體報導指出，一名民眾購買二手電腦後，在硬碟中發現超過3,000筆病患相關紀錄。

這些設備原本交由資料銷毀公司處理，但實際上並未確實完成硬碟資料清除或銷毀，導致含有敏感資料的設備流入二手市場。

這起事件凸顯一個常見誤區：企業把設備交給回收商，不代表資料就已經被刪除；拿到銷毀證明，也不代表每一顆硬碟都真的被逐一驗證。

許多企業在汰換電腦時，會把設備回收、報廢、搬運和資料處理混在一起處理，缺少明確分工。

如果沒有硬碟序號清點、資料清除紀錄、銷毀影像、逐台驗證與責任交接，就容易出現設備被轉售、硬碟未拆除或資料未清除的漏洞。

醫療、金融、教育、科技製造業特別需要注意，因為舊設備內可能保存病患資料、客戶資料、研發文件、財務紀錄或內部帳號資訊。

第一，回收前先確認每台設備是否含有硬碟、SSD、記憶卡或其他儲存媒體。

第二，對需要再利用或轉售的設備，應做資料清除並保留驗證紀錄；對不再使用的儲存媒體，建議直接物理破壞。

第三，要求廠商提供可追溯的處理文件，不只是一張總表，而是能對應設備數量、序號與處理方式。

第四，必要時採現場處理，降低設備離場後才處理資料的風險。

資料來源：Sky News 2013年7月12日報導、英國ICO相關裁罰報導。