事故应变机制-成大医院.PPT

個資法的11項安全維護措施 資訊室 林顯坤 102.1.16 大綱 個資法的衝擊 個資法簡述 個資法的11項適當安全維護措施 如何善盡良善管理人之責 補充說明-個資安全維護自評表 個資法的衝擊 根據日本JNSA(Japan Network Security Association)調查研究部安全受害調查工作團體 2011年6月8日 日本個資法實施於2005年4月1日後，個人資料洩漏事件民事賠償在2007年達到最高峰，然後逐年下降。  11項「適當安全維護措施」 個資法施行細則第十二條 本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。 前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則： 要執行哪些「適當安全維護措施」?事後發生 VS 事前防範 一、配置管理之人員及相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、使用紀錄、軌跡資料及證據保存。 十一、個人資料安全維護之整體持續改善。 一、配置管理之人員及相當資源 （一）高層的支持與領導 負責擬定「個人資料保護政策」、分配適當資源。 藉由明確方向、承諾及指導方針，由上而下的支援個資安全維護組織，並明確定義個資推動小組之執掌與責任。 （二）成立跨部門的個人資料保護及管理工作推動小組(以下簡稱個資推動小組) 訂定個資法之因應策略及方針。 評估檢討個資法作業相關問題，研擬可行之改進方案。 個資法內部稽核及風險評估事項。 參考資料:新碩資訊 一、配置管理之人員及相當資源 （二）成立跨部門的個資推動小組(續) 審議、評估、建議之個資法因應措施，於資訊管理委員會報告 承擔本院個資安全維護作業責任、落實個資安全維護政策。 制訂「個人資料風險評估及管理程序書」，以協助各單位建立個資風險管理機制。 擬定個資安全工作項目以及推動工作時程。 規劃與執行院內個資維護認知宣導、教育訓練及個資訊息發佈。 雙罰制：個資小組召集人若未負起督導管理之責，會遭到和組織一樣額度的行政罰鍰（個資法§ 50；行政罰法§ 15）。 一、配置管理之人員及相當資源 （三）單位個資處理運作及資安連絡人 各單位須指派一位資安連絡人，擔任「個資安全維護種子成員」，負責單位內個資安全維護作業的推動與協助支援工作。 單位主管負責協調同仁進行個資盤點及風險評估作業。 公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏（§18）。 （四）配置相當資源（資源、人力） 為達成個資安全維護目標，院方必須投入適當經費，以執行必要措施，其所支出之費用與所欲達成之個人資料維護目的，以符合適當比例為限。 未來若涉及個資外洩事件，組織是否可以證明已盡到善良管理人的注意義務？ 二、界定個人資料之範圍 （一）個資定義作業（由上而下作業方式） 確認單位內每一項個資的特定目的（盡可能符合醫院的營業項目，例如:O六四 保健醫療服務）。 確認每一項特定目的所需個資的資料類別以及個資範圍（可參考個人資料清冊盤點表範例）。 確認每一項個資是否包含特種資料（病歷、醫療、基因、性生活、健康檢查及犯罪前科等六項，需受特別的規範。（§ 6） 確認每一項個資處理業務流程中的所有利害關係人，例如：個資當事人、個資使用者、內部員工、委外廠商、供應者…等。 二、界定個人資料之範圍 （一）個資定義作業(續) 確認每一項個資的存在形式（如：紙本、電子檔案或資料庫欄位），以及個資範圍內容。 確認每一項電子檔案個資，處理業務流程所涉及的資訊系統。 確認每一項個資處理業務的作業流程，蒐集、儲存、處理、利用、銷毀（個資生命週期）。 確認組織內每一項個資的個資來源以及蒐集方式。 二、界定個人資料之範圍 （二）個資盤點作業（由下而上作業方式） 個資盤點作業需全員出動，由單位主管帶領比較容易成功。 對全體同仁進行個資盤點作業的宣導及教育訓練。 以部門為個資盤點的基本單位，部門員工負責盤點個人所蒐集、儲存、處理或利用到的個資，以及蒐 集、處理或利用個資之途徑與方式；個資的性質。 資安連絡人需協助同仁執行個資盤點，並負責彙整單位內的「個人資料清冊盤點表」 ，以交付秘書室彙整及提報個資推動小組的審查。 二、界定個人資料之範圍 （三）填寫「個人資料清冊盤點表」 可參考個資法推動專區\個資盤點及風險評估\「個人資料清冊盤點表範例」