生技醫療業上櫃公司大樹醫藥股份有限公司 (6469)於週日(11月30日) 22:11分發重大訊息，說明該公司部份檔案遭勒索軟體加密攻擊，該公司立即將有問題的檔案和網路做出資安防護及阻斷，不影響營運及顧客權益。儘管公司初步評估營運不受影響，但此事件的本質——勒索軟體加密攻擊，涉及資料的可用性與完整性受損，對於以個人資料為核心資產的醫療連鎖企業而言，其潛在風險遠超硬體損失。

根據大樹醫藥公司網站的公開資訊說明，該公司全國有超過300家連鎖加盟據點。假設該公司藥局提供慢性處方簽服務，沒有意外的情況，本次加密勒索將涉及一定數量的會員/患者個人資料外洩議題。由於慢性處方箋資料屬於《個人資料保護法》所定義的特種個人資料（如病歷、醫療紀錄等），其敏感性極高，一旦洩露可能對患者權益造成不可逆的傷害。

依照行政院「行政院及所屬各機關落實個人資料保護聯繫作業要點」定義，「個人資料外洩事件經媒體顯著披露之個資外洩案件，例如經平面媒體全國性版面報導、電子媒體專題討論」屬於重大矚目案件的範圍。鑑於此類上櫃公司發佈的重大訊息極具公眾關注度，此事件極可能被界定為重大矚目案件。

依照「個資外洩案件行政調查作業手冊」的規定，重大矚目案件之中央目的事業主管機關經確認屬該機關管轄後，應於接獲通報、副知或知悉時起24小時內，填列前點第1項本文所定監督通報紀錄表，通報國發會及數位發展部。這對業者來說，不僅是事後補救，更是嚴格的時效性法定義務。

手冊同時規定中央目的事業主管機關應就重大矚目之個資外洩案件後續行政措施及處置情形，即時通報國發會及數位發展部。這意味著事件處理過程將持續受到政府監督，要求企業必須在資安防護、個資外洩範圍界定、對客戶的通知義務以及後續的補救措施等方面，展現高度的透明度與行動力。

基於這些規定，大樹醫藥公司的加密勒索攻擊案件，後續應有個人資料外洩案件的調查和處理程序，業者在案件處理過程，需同時關注個人資料保護法有關條款的規定。此外，此事件也對所有生技醫療業者敲響警鐘，提醒其需將勒索軟體防禦與個資保護視為營運韌性的首要任務，從根本上強化網路分段、數據備份與還原機制，以及對員工進行針對性資安意識培訓，以防範對患者權益和公司商譽構成的雙重打擊。

資料來源：https://mops.twse.com.tw/mops/#/web/t05st02?year=114&month=12&day=01