教育機構個人資料保護規範.docVIP

教育機構個人資料保護工作事項 壹、文件目的： 本指引係依據「個人資料保護法」、「個人資料保護法施行細則」及「教育體系資通安全管理規範」等相關規定為基礎引申訂定之。 除遵循上述法令及規範外，教育機構教、職、員、生、約聘人員及相關委外合作廠商等，應參考本工作事項之管理措施，或配合各校所修改或引用適當之項目，保護機關學校相關程序所產生或經手的書面或電子之個人資料。 機關學校應定期執行稽核作業，以確保相關管理措施之有效性。 貳、本指引用詞定義： 個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、特徵、家庭、教育、職業、病歷、醫療、健康檢查、聯絡方式、財務情況及其他得以直接或間接方式識別該個人之資料。教育機構中常見之個人資料如教職員人事資料、學生基本資料、家長聯絡方式、家庭狀況、班級成績資料、健康檢查結果、心理輔導檔案等。 其餘用詞定義請參見「個人資料保護法」。 參、個人資料保護及安全原則： 機關學校應指定單位副首長為機關召集人，統籌決策與執行單位內資訊安全與個資隱私業務之資源整合運用。 機關學校應指定專人依相關法令辦理安全維護及保管事項，作為機關內部之個人資料管理代表。機關組織編制較小者，則統一由該機關「個資保護聯絡窗口」兼辦專責人員業務。 機關學校應設置並指定「個資保護聯絡窗口」，作為機關學校間個資業務協調聯繫之對口、機關學校本身個資安全事件通報之對口，以及重大個資外洩事件之民眾聯繫單一窗口。另單位應將「個資保護聯絡窗口」之聯繫方式（如：電話、email）置於單位網站，以便利民眾提出申訴與救濟。 個人資料檔案應定期備份，並防止個人資料被竊取、竄改、毀損、滅失或洩露。個人資料輸入、輸出、存取、更新、更正或註銷等處理行為，宜釐定使用範圍及調閱或存取權限。個人資料檔案之處理行為應設置使用者代碼及通行碼，不得與他人共用並定期更新。另視需要考量採取權限區隔、資料加密機制，或相關核准程序加以控管，並留存使用者身分、識別帳號與其行為紀錄以供事後稽查。 個人資料檔案儲存於個人電腦者，應於該電腦設置可辨識身份之登入通行碼，並視業務及資料重要性，考量其他輔助安全措施。個人資料檔案使用完畢後，應即退出應用程式，不得留置於電腦終端機。 含有個人資料之紙本報表的申請、讀取、列印、使用、存檔、轉交及銷毀等處理及利用行為，宜建立相關之授權、監督及行為記錄機制。 內部傳遞或與其他機關交換個人資料時，應選擇可靠且具備保密機制之傳遞方式，如於實體文件封袋加上彌封、或對資料檔案壓縮加密，並對轉交或傳輸行為加以記錄流向備查。 對於個人資料之調閱宜經申請並核准，並加以記錄其調閱身分及行為。調閱紀錄可視機關實際需求存檔，以利後續人員查詢及追蹤。 以電腦處理個人資料時，需核對個人資料之輸入、輸出、編輯或更正是否與原件相符。個人資料提供利用時，對資料相符與否如有疑義，應調閱原檔案查核。 機關學校單位管理之網站或網頁內容，於確有必要公佈個人資料時，需經所屬單位主管核准，且依相關法律及規範處理，始得公佈。 肆、參考注意事項： 一、處理個資之資訊設備使用參考注意事項： 處理個人資料檔案之資訊設備，需設置使用者代碼及通行碼。 通行碼至少每六個月更換一次，通行碼長度應至少8碼，且包含文數字。 禁止與他人共用電腦系統帳號。 採取權限區隔，非專責處理特定個人資料者不得具有存取或查閱個人資料之權限。 個人資料檔案應予以加密。 至少每月備份資訊設備內個人資料檔案一次。 個人資料檔案使用完畢後，應立即退出應用程式。 資訊設備應使用螢幕保護程式，設定螢幕保護密碼，並將螢幕保護啟動時間設定為15分鐘以內。 交換個人資料檔案時，應對資料檔案加密，亦或是透過加密通道傳送。 個人資料禁止存放於網路芳鄰分享目錄，並停用Guest帳號。 禁止使用MSN或其他即時通訊軟體傳輸個人資料檔案。 禁止使用外部網頁式電子郵件(Webmail)傳輸個人資料檔案。 禁止使用點對點(P2P)軟體及Tunnel相關工具下載或提供分享檔案。 存放個人資料之資訊設備應與外部網路隔絕（如：防火牆）。 存放個人資料之資訊設備應安裝防毒軟體，除至少每日更新病毒碼外，並應每周執行完整掃瞄。 存放個人資料之資訊設備應定期檢視、更新作業系統、應用程式漏洞（如：Windows作業系統、Windows Office、Adobe Acrobat等）。 二、設備管理參考注意事項： 應指定專人負責管理儲存個人資料檔案之資訊設備與其他相關設施等，並檢視、處理其錯誤或異常事件等訊息。 儲存個人資料之資訊設備應置放於實體安全區域（如：門禁控管之辦公區域、機房），避免有心人士或非授權人員存取。 儲存個人資料檔案之磁碟、磁帶，及紙本等相關儲存媒體，應指定專人管理，並置於實