何謂 FERPA? 有哪些必要的安全控制措施?

九月 24, 2020 安全與合規性, MOVEit

個人的隱私權幾乎影響每個行業,教育界也不例外。

州及聯邦立法機構繼續導入有關保護學生紀錄的法規。舉例來說,若學校未遵守《家庭教育權利及隱私法》(FERPA),則可能影響聯邦補助資金的取得,而且學校可能面臨巨額罰款,每洩露一筆紀錄的平均成本為245美元

FERPA 是一項聯邦法律,為有18歲以下子女的父母提供三項主要權利:

  • 存取子女的教育紀錄
  • 當發生錯誤或變更時,要求修改紀錄的能力
  • 控管子女揭露個人身分識別資訊(personally-identifying information,PII)

當學生年滿18歲或以任何年齡進入大專院校時,FERPA 中的權利將自動從父母轉移給學生。根據該法案,在教育機構揭露學生教育紀錄中的個人身分識別資訊(即PII)前,父母或合格學生必須先提供簽名且標註日期的書面同意書。

PII 包含學生姓名、身分證字號及其他能經由與其他資訊來源連結而辨別個人身分的資訊。FERPA 適用於所有從教育部管理的計畫中獲得資金補助的教育機構。因此,私立學校不受 FERPA 的約束。

與政府機構共享資料時符合 FERPA 的最佳實務

有鑒於 FERPA 的要求,將資料用於推動方案及政策規劃決定時,教育領導者及其IT團隊需要特別注意學生隱私的保護。此一挑戰的棘手之處在於教育機構所整合的資料系統,該系統允許連結來自多個政府機構的行政管理資料。這些機構包含監督兒童福利、協助住房、少年及成人司法、心理健康、就業與收入、幼兒教育、無家可歸以及健康統計等機構。

對教育領導者而言,能進入這些整合系統會有所幫助,因為在設計教育方案及政策時,能對來自多個來源的資料紀錄進行析。但與此同時,與其他政府機構建立連接會帶來資安風險,可能會違反 FERPA 要求。

為協助教育機構因應此一挑戰,美國教育部已發布《整合資料系統及學生隱私》(Integrated Data Systems and Student Privacy)。該指南中提出多項IT團隊可以遵循的治理及資訊安全控制最佳實務,以確保他們在與其他政府機構共享資料時符合FERPA:

  • 為資料託管人分配適當的權限等級,並主動定義該權限的範圍與限制。
  • 在書面計畫中納入並強制執行明確的政策及程序,確保每個人都瞭解資料品質與安全的重要性。
  • 確認收集資料的目的,此可證明收集敏感資料的合理性,並優化資料管理程序。
  • 規定與資料處理有關的管理性及使用者活動,以為資料專員及使用者提供符合資安策略的適當工具。
  • 制定並傳達在資料生命週期中所有階段處理紀錄的政策及程序,包含資料的擷取、維護、使用、歸檔及銷毀。
  • 確保資料為準確、相關、及時且完整,而且資料用於預期的用途。
  • 制定並定期更新策略,以利防範、偵測及改正資料中的錯誤與資料濫用。
  • 根據個人的角色及責任定義並分配不同的資料存取等級,藉此防止未經授權的存取,並將資料洩露的風險降至最低。
  • 保留每次請求存取PII及每次揭露學生紀錄的紀錄,揭露紀錄文件中應包含釋放給整合資料系統的資訊,以及整合資料系統轉手揭露給其他利害關係人的資訊。
  • 確保PII的資訊安全,並減緩未經授權揭露資料的風險,基本組成包括:
    • 實體安全措施
    • 網路映射
    • 身分驗證
    • 分層防禦架構
    • 保障配置的安全
    • 存取控制、防火牆
    • 入侵偵測
    • 預防系統
    • 自動漏洞掃描
    • 補丁管理
    • 事件處理
    • 稽核與合規性監控。

透明度也是關鍵。教育機構應確保所有利害關係人都知道資料治理以及資安政策與程序。此包含連接至整合資料系統的州立及地方政府機構、決策者、學校職員與行政部門,以及社區中有學生的家庭。

在保護學生資料的同時打造強健的教育方案

政府機構共享之整合資料系統結構的多樣性、治理模式,以及學生資料的使用,產生了與隱私有關的複雜法律及政策問題。教育機構將需要更進一步鑽研 FERPA,並應仰賴外部顧問及律師的專業知識,以確保部署必要的資安控制措施。

投入時間及資源是值得的,因為參與整合資料系統可協助教育領導者蒐集他們所需要的資料,以打造更強健的教育方案及全面的政策。藉由遵循上述最佳實務,IT團隊更能確保以符合 FERPA 及其他適用隱私法律的方式保護學生的隱私。

Progress MOVEit®受管檔案傳輸可以在協助教育機構符合 FERPA 方面扮演重要的角色。解決方案藉由對所有傳輸中資料及靜態資料進行加密,確保內含受保護學生資訊之文件的內部及外部傳輸合規。欲瞭解 MOVEit 如何為您的組織提供協助,立即下載免費試用版

Greg Mooney

Greg is a technologist and data geek with over 10 years in tech. He has worked in a variety of industries as an IT manager and software tester. Greg is an avid writer on everything IT related, from cyber security to troubleshooting.