公务机关因应个资法之策略与作法.pptVIP

盤點作業（6） 項目 單位 名稱 個人資料檔案名稱 法律 依據 特定目的 個人資料類別 個人資料之範圍 有否特種資料 ？何種特種資料？ 有無監督管理之非公務機關及其名稱 範例：法務部「各單位內部保有及管理個人資料之項目彙整表」 * 風險評估與擬定管控措施（1） 「電腦處理個人資料保護法施行細則」修正草案第9條第2項第3款：個人資料之風險評估及管理機制 重要事項 建立風險評估作業程序規則 建立風險評估清冊 定期或不定期檢視修訂風險評估清冊 * 風險評估與擬定管控措施（2） 風險分析的程序 明確個人資料作業的業務內容 明確個人資料作業內容 認識作業情境上的風險 擬定風險對策 反映到相關公司內部規則 掌握剩餘風險 新增業務 個資盤點清冊 風險評估清冊 核決風險評估清冊 風險評估與擬定管控措施（3） 明確個人資料作業內容 陳情作業流程資料 ＜陳情處理流程＞ ＜陳情作業流程＞ ①蒐集 ↓ ②輸入 ↓ ③處理（分文） ↓ ④利用（擬回覆函） ↓ ⑤傳遞（） ↓ ⑥保管．銷毀 提出陳情 ↓ 受理 ↓ 分文 ↓ 處理陳情 ↓ 發函回覆 ＜個資盤點清冊＞ 1.陳情書(紙本媒體) 2.由網路或首長電子信箱所收到的陳情郵件 風險管控措施（5） * 情境 個人資料檔案名稱 風險類型 具體風險 對策 公司內部規則 剩餘風險 蒐集 履歷表、人事基本資料表、學歷證件 □違法 □目的外利用 □竊取 □竄改 □毀損 □滅失 □洩漏 未為告知或未同意 行銷 紙本遭竊 紙本資料遺失 紙本資料外洩 利用 筆試成績、面試成績 □違法 □目的外利用 □竊取 □竄改 □毀損 □滅失 □洩漏 未為告知或未同意 行銷 紙本遭竊 紙本資料遺失 紙本資料外洩 擬定內部各項程序規定（1） 內部程序規則項目 緊急事故應變程序 個人資料蒐集處理、利用作業程序 當事人權利行使及申訴諮詢程序 個人資料安全管理程序 教育訓練 個人資料管理制度文件記錄管理程序 內部控管 改善及預防制度之持續改善 * 擬定內部各項程序規定（2） 緊急應變措施 「電腦處理個人資料保護法施行細則」修正草案第9條第2項第4款：事故之預防、通報及應變機制 重要事項 訂定緊急事故作業程序 緊急事故處理權限及單位 查明後告知當事人使知悉事故發生之方式，並提供後續查詢與處理管道 防止損害擴大方法 避免類似事故再次發生方法 事故通報機制 * 擬定內部各項程序規定（3-1） 蒐集、處理及利用作業程序 重要事項 蒐集、處理利用之原則 尊重當事人之權益 依誠實及信用方法 不得逾越特定目的之必要範圍 與蒐集之目的具有正當合理之關聯 行銷時特別應注意 行銷時應於蒐集之特定目的必要範圍內 當事人表示拒絕接受行銷時 ，應即停止利用其個人資料行銷 於首次行銷時，提供當事人表示拒絕接受行銷之方式，並支付所需費用 確認蒐集、處理及利用符合個人資料保護法第19條之特定情形 資料安全控管作業流程 * 擬定內部各項程序規定（3-2） 蒐集、處理及利用作業程序 重要事項 確認蒐集已符合個人資料保護法第8、9條 直接蒐集時告知事項完整性 直接蒐集時之告知時點 直接蒐集時免為告知之確定 間接蒐集時告知事項完整性 間接蒐集時之告知時點 間接蒐集免為告知之確定 以書面、電話、傳真、電子文件或其他適當方式告知 * 擬定內部各項程序規定（4） 當事人權利行使 重要事項 訂定當事人權利行使之程序規則 確認依法得不回應當事人權利行使之程序 當事人提出權利行使之窗口 當事人權利行使之書面或方法 確認當事人本人或其代理人之方法 回覆當事人權利行使之期間 * 擬定內部各項程序規定（5-1） 安全管理措施 重要事項 資料安全管理 設備安全管理 * 擬定內部各項程序規定（5-2） 安全管理措施 例：保險業個人資料檔案安全維護計畫標準 保險業應指定專人負責管理電腦設備，並加強安全防護措施。 保險業對個人資料檔案之主機、週邊設備及相關設施等電腦設備，應加強天然災害及其他意外災害之防護。 保險業對於儲藏個人資料檔案之磁碟、磁帶等媒體，應責成專人管理，並建立備援制度。 個人資料之輸出入，均應建立識別碼、通行碼之管理制度；重要之個人資料，並應加設資料存取控制。前項識別碼及通行碼，應視需要經常更新。 * 擬定內部各項程序規定（5-3） 安全管理措施 例：保險業電子商務紀錄保存及內部控制管理自律規範第7條網路設備安全防護 ?所有網路硬體設備應安置於安全地點 ?安置網路硬體設備之地點應加裝不斷電系統或備用發電機，並依法令規定設置必要及合格之消防安全設施 ?安置網路硬體設備之地點應建立安全維護及人員進出之控管機制 擬定內部各項程序規定（5-4） 安全管理措施 例：保險業電子商務紀錄保存及內部控制管理自律規範第九條電子商務資訊安全管理 ?保險業應