個資法的11項安全維護措施 資訊室 林顯坤 102.1.16
大綱 個資法的衝擊 個資法簡述 個資法的11項適當安全維護措施 如何善盡良善管理人之責 補充說明-個資安全維護自評表
個資法的衝擊 根據日本JNSA(Japan Network Security Association)調查研究部安全受害調查工作團體 2011年6月8日
日本個資法實施於2005年4月1日後,個人資料洩漏事件民事賠償在2007年達到最高峰,然後逐年下降。
擴大適用主體(公務機關及自然人、法人、團體) 個人資料保護法簡述(以下簡稱個資法) 擴大適用主體(公務機關及自然人、法人、團體) 行為主體 保護客體 規範行為 處罰 新版個資法 2012.10.1實施 擴大並加強保護對象 (紙本、特種) 加重民事、刑事、行政罰責任規定 增修規範行為 (告知、行銷拒絕) 5 5
個資法簡述 「個人資料」的定義 一般資料 特種資料 生存自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、聯絡方式、財務情況、社會活動 醫療(病歷)、基因、性生活、健康檢查、犯罪前科 及其他得以直接或間接方式識別該個人之資料(概括條款) 人格發展 時速170 七堵 后里 6 6
個資法簡述 個人資料--紀錄各種足資識別個人生活 狀態的資料 姓 名 生 日 財務狀況 聯絡方式 蜘蛛人,男性 1988年8月8日 個人資料--紀錄各種足資識別個人生活 狀態的資料 蜘蛛人,男性 姓 名 1988年8月8日 生 日 合庫銀行存款1000萬元 合庫銀行車貸100萬元 合庫銀行金鑚信用卡 財務狀況 電話:0800-092000 住址:台南市勝利路138號 聯絡方式 7
個資法簡述 病人個資 非病人個資 員工個人資料,單位通訊錄..等 研討會報名之個人資料 一、掛號資料:記載日期、病歷、病患姓名、看 診序號、科別等資料。 二、病歷:姓名、生日、性別、地址、就診日期 、主訴、診斷項目及結果、治療處置或用藥等資料。 (一)紙本病歷 (二)電子病歷 三、健康檢查報告 非病人個資 員工個人資料,單位通訊錄..等 研討會報名之個人資料 8 8
個資法簡述 資料保護的範圍如下: 資料保護範圍的例外情況:(§51(1)) 不限於電腦處理資料,包括人工處理之資訊在內。 限於目前生存之自然人,不包括已死亡者之資料。 公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者,亦適用本法。(§51(2) --個資法第51條第2款) 資料保護範圍的例外情況:(§51(1)) 自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。 於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。 限電腦處理(數位攝影VS傳統底片 違規左轉VS雙排停車) 個人足資識別 自殺死亡 9 9
11項「適當安全維護措施」
個資法施行細則第十二條 本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。 前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
要執行哪些「適當安全維護措施」? 事後發生 VS 事前防範 一、配置管理之人員及相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、使用紀錄、軌跡資料及證據保存。 十一、個人資料安全維護之整體持續改善。
一、配置管理之人員及相當資源 (一)高層的支持與領導 負責擬定「個人資料保護政策」、分配適當資源。 藉由明確方向、承諾及指導方針,由上而下的支援個資安全維護組織,並明確定義個資推動小組之執掌與責任。 (二)成立跨部門的個人資料保護及管理工作推動小組(以下簡稱個資推動小組) 訂定個資法之因應策略及方針。 評估檢討個資法作業相關問題,研擬可行之改進方案。 個資法內部稽核及風險評估事項。 參考資料:新碩資訊
一、配置管理之人員及相當資源 (二)成立跨部門的個資推動小組(續) 審議、評估、建議之個資法因應措施,於資訊管理委員會報告 承擔本院個資安全維護作業責任、落實個資安全維護政策。 制訂「個人資料風險評估及管理程序書」,以協助各單位建立個資風險管理機制。 擬定個資安全工作項目以及推動工作時程。 規劃與執行院內個資維護認知宣導、教育訓練及個資訊息發佈。 雙罰制:個資小組召集人若未負起督導管理之責,會遭到和組織一樣額度的行政罰鍰(個資法§ 50;行政罰法§ 15)。
一、配置管理之人員及相當資源 (三)單位個資處理運作及資安連絡人 (四)配置相當資源(資源、人力) 各單位須指派一位資安連絡人,擔任「個資安全維護種子成員」,負責單位內個資安全維護作業的推動與協助支援工作。 單位主管負責協調同仁進行個資盤點及風險評估作業。 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏(§18)。 (四)配置相當資源(資源、人力) 為達成個資安全維護目標,院方必須投入適當經費,以執行必要措施,其所支出之費用與所欲達成之個人資料維護目的,以符合適當比例為限。 未來若涉及個資外洩事件,組織是否可以證明已盡到善良管理人的注意義務?
二、界定個人資料之範圍 (一)個資定義作業(由上而下作業方式) 確認單位內每一項個資的特定目的(盡可能符合醫院的營業項目,例如:O六四 保健醫療服務)。 確認每一項特定目的所需個資的資料類別以及個資範圍(可參考個人資料清冊盤點表範例)。 確認每一項個資是否包含特種資料(病歷、醫療、基因、性生活、健康檢查及犯罪前科等六項,需受特別的規範。(§ 6) 確認每一項個資處理業務流程中的所有利害關係人,例如:個資當事人、個資使用者、內部員工、委外廠商、供應者…等。
二、界定個人資料之範圍 (一)個資定義作業(續) 確認每一項個資的存在形式(如:紙本、電子檔案或資料庫欄位),以及個資範圍內容。 確認每一項電子檔案個資,處理業務流程所涉及的資訊系統。 確認每一項個資處理業務的作業流程,蒐集、儲存、處理、利用、銷毀(個資生命週期)。 確認組織內每一項個資的個資來源以及蒐集方式。
二、界定個人資料之範圍 (二)個資盤點作業(由下而上作業方式) 個資盤點作業需全員出動,由單位主管帶領比較容易成功。 對全體同仁進行個資盤點作業的宣導及教育訓練。 以部門為個資盤點的基本單位,部門員工負責盤點個人所蒐集、儲存、處理或利用到的個資,以及蒐 集、處理或利用個資之途徑與方式;個資的性質。 資安連絡人需協助同仁執行個資盤點,並負責彙整單位內的「個人資料清冊盤點表」 ,以交付秘書室彙整及提報個資推動小組的審查。
二、界定個人資料之範圍 (三)填寫「個人資料清冊盤點表」 可參考個資法推動專區\個資盤點及風險評估\「個人資料清冊盤點表範例」 內的填表說明,並注意各欄位的文字格式。 定義個人資料檔案名稱。 填寫保有依據及特定目的。 確認每一項特定目的所需的個資資料類別以及個資範圍。 同單位的個資清冊,請將盤點表整理成一個檔案,交付秘書室彙整。
三、個人資料之風險評估及管理機制 制訂「個人資料風險評估及管理程序書」 個資風險有多少?風險到底在哪裡? 由盤點表評估個資的蒐集、處理、利用及儲存過程中,會有哪些潛在的風險? 修正部分不合適的使用方式。 修正業務流程及系統流程 提出管理制度的控制項目(預防、監視、矯正) 針對高風險項目,提出改善風險改善與管理對策。 個人資料檔案資產價值=(機密性*2)*完整性*可用性 風險值=個人資料檔案資產價值等級*弱點值*威脅值
風險評估流程圖 風險評估程序 風險處理程序 個人資料清冊盤點表 決定可接受之 風險等級 個人資料資產評價 擬定風險處理計畫 弱點及威脅分析 執行風險處理計畫 撰寫個人資料 檔案風險評估表 風險再評估 風險值計算及 評定風險等級
四、事故之預防、通報及應變機制 (個資安全事故通報程序書_擬訂中) (一)事故之預防 防止個資被竊取、洩漏、竄改、毀損、滅失,導致個資當事人產生損失。 預防個資事故之發生方是上策。 (二)事故之通報(告知義務) 公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。(§ 12) 通報方式可以採用電子郵件、簡訊、電話、書函、或其他可使當事人知悉的方式,亦可採用公告、媒體等方式,可運用多種方式搭配補強。 通報事故之目的事業主管機關。 事故之通報應保留記錄。
四、事故之預防、通報及應變機制 (三)事故應變機制 確認事故的規模以及損害的範圍。 確認事故發生事實、原因及對策。 擬訂事故發生之立即改善作業及預防再發生方案。 擬訂事故發生通知個資當事人之通報方式、作業流程以及通報之內容格式。 擬訂事故發生後個資當事人求償之協商作業以及補償方式。 因應事故發生後目的事業主管機關檢查,彙總整理事故相關之記錄、軌跡資料及證據。 尋求資安顧問以及法律專業諮詢與協助。 記取經驗,擬定個資安全維護改善計畫持續落實。
五、個人資料蒐集、處理及利用之內部管理程序 (一)個資生命週期
五、個人資料蒐集、處理及利用 之內部管理程序 (二)個資蒐集、處理及利用作業之管理原則 個資作業相關流程之設計,應納入當事人個資維護的觀念: ◆公平及合法處理個資。 ◆明確個資具體用途。 ◆確保個資正確性及完整性。 ◆當事人權利。 個資蒐集的範圍應以適用及最小化為原則。 個資作業流程之設計,應以簡單為原則,不要複雜化,且應納入個資安全稽核的觀念。 制定出個資作業相關流程的標準作業流程並文件化。
五、個人資料蒐集、處理及利用之內部管理程序 (三)個資蒐集作業流程管理 直接/間接蒐集(紙本文件、電子檔案)流程管理。 系統自動蒐集流程管理。 (四)個資處理作業流程管理(5大管控機制) 電子檔案流程管理:授權、存取控制、監督、稽核及行為記錄機制。 紙本文件的更正、記錄、輸入/電子化/儲存(存檔) /複製(影印) /刪除(銷毀)等作業流程管理:授權、存取控制、監督、稽核及行為記錄機制。
五、個人資料蒐集、處理及利用之內部管理程序 (五)個資利用作業流程管理(特定目的利用) 病人個資利用作業流程管理。 員工個資利用作業流程管理。 委外廠商個資利用作業流程管理。 個資利用作業流程產生之相關個資蒐集管理。 (六)個資銷毀作業流程管理 電子化個資銷毀作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。 紙本個資銷毀作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
五、個人資料蒐集、處理及利用之內部管理程序 (七)個資當事人五大權利行使之回應 個資當事人請求查詢或閱覽、製給複製本、補充或更正、停止蒐集、處理或利用、刪除等作業流程之管理(授權、存取控制、監督、稽核及行為記錄機制)。(§ 3)
六、資料安全管理及人員管理 (一)資料安全管理 防止外部不當入侵個人資料檔案 個人資料檔案使用正面表列原則 個人資料檔案存取權限管控 防止個人資料檔案目的外的存取使用 個人資料檔案加密(紙本彌封,電子檔加密壓縮傳遞) 個人資料檔案備份 個人資料檔案異地備份 個人資料檔案銷毀
六、資料安全管理及人員管理 (二)內部人員管理(接觸個資檔案的同仁) 1.新進員工 ◆新進員工必須簽署「員工保密切結書」 。 ◆新進員工之進用及調派,應作適當之安全評估。 ◆對新進員工施予資訊安全與個資保護之職前教育訓練(認知宣導及教育訓練)。 ◆設計符合個資法規範之相關招募以及人事表單(面試資料表、員工資料表),並採取適當的防護措施。
六、資料安全管理及人員管理 2.在職員工 ◆員工應盡之安全責任,應納入其工作說明書或系統文件。 ◆在職員工應瞭解本院之個資安全政策及個人應負之職責。 ◆員工職務如有異動,應將所保管之儲存媒體及個資有關資料列冊移交,接交人員除應於相關系統重置通行碼外,視需要更換使用者帳號(資料安全管理)。 ◆訂定員工違反醫院個資安全政策與程序之懲處規定(員工個資安全維護管理)。
六、資料安全管理及人員管理 3. 離職員工 ◆員工離職時,應確認其使用或保管之資訊資產已繳回或執行移除,並取消或停用其使用者識別帳號,且收繳其通行證及相關證件。 ◆處理大量個資檔案員工離職時,應稽核並確認其是否有異常的個資處理記錄。 (三)委外廠商管理(請參閱個資文件一覽表-「委外人員管理作業說明書」 委外廠商需簽署「人員保密同意書」,且每年需填寫一次「委外廠商個人資料安全維護稽核查檢表」。 受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。 (§ 4)
七、認知宣導及教育訓練 (一)定期對全體員工舉辦個資及資安的教育訓練。 (二)認知訓練:觀念宣導、政策說明、法律認知。 (三)新進人員教育訓練。
八、設備安全管理 (一)實體與環境安全管理(含人員進出管控) (二)儲存設備安全管理( PC、USB隨身碟、外 接式硬碟等行動裝置) (三)傳輸設備安全管理(智慧型手機..) (四)醫療儀器與醫療影像設備(PACS)的安全管 理
九、資料安全稽核機制 (二)內部個資記錄稽核。 (三)部署適當監控工具。(如:CCTV錄影、VPN連線錄影軟體..) (一)內部個資處理流程稽核。 現有的控制措施、流程及程序是否落實個資法規定?(成大醫院個人資料安全維護自評表) 稽核人員、稽核頻率、稽核計畫(範圍、項目、人員、時程、執行程序 (二)內部個資記錄稽核。 (三)部署適當監控工具。(如:CCTV錄影、VPN連線錄影軟體..) (四)外部個資處理流程稽核 有委外業務的單位則需稽核委外廠商。
十、使用紀錄、軌跡資料及證據保存 (一)個資使用記錄之保存 經由內部管理程序所產出的使用記錄,皆要妥善保存,以利日後舉證之用。 損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。(§ 12) (二)軌跡資料之保存 “軌跡資料”係指個人資料在蒐集、處理、利用過程中所產生非屬於原蒐集個資本體之衍生資訊(Log File),可能包括資料存取人之代號、存取時間、使用設備代號、網路位址(IP)、經過之網路路徑…等。 (三)證據之保存
十一、個人資料安全維護之整體持續改善 (一)建立PDCA(規劃、執行、監控、改善)機制,訂定個資安全目標,透過預防及矯正措施,來持續改善任何個資安全維護管理的異常事件或弱點。 (二)定期以及不定期內部稽核,以確認組織是否落實個資安全維護(資料安全稽核機制)。 (三)定期召開個資推動小組會議,審查內部個資處理安全維護作業流程,是否符合法令要求。 (四)定期檢討內部個資處理安全維護作業績效,並提出個資安全維護改善計畫。 (五)主動積極、妥善處理來自個資當事人之客訴及抱怨(事故應變機制)。
如何善盡良善管理人之責 建立正確且完整的「個人資料清冊盤點表」,並依業務或流程異動定期更新。 定期檢討改善「成大醫院個人資料安全維護自評表」內的不符合項目。 落實執行個資法施行細則第12條之11項「適當安全維護措施」。 加強資訊安全管理制度的觀念。 對於個資遭竊取、竄改、毀損、滅失或洩漏 等外洩事故,須能舉證個人無故意或過失責任,即可免罰。
成大醫院個資法推動專區 醫院院區:本院網站\院內專用網\個資法推動專區 醫學院院區(140網段) : http://www.hosp.ncku.edu.tw/internal/pilaw/
Q & A
課後考題 1.本院的個資法參考文件位置為:本院網站\院內專用網\個資法推動專區? 2. 產出「個人資料清冊盤點表」與「個人資料安全維護自評表」是各單位目前的首要工作? 3.公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人?(§ 12) 4.委外廠商若不慎將個資外洩,本院可要求其負全部責任嗎? 5.已執行個資法施行細則第12條之11項「適當安全維護措施」,若個資外洩即可免罰?