一、 目的
依據全民健康保險保險人對外提供資料作業要點規定,避免當事人人格權受侵害,確保機關申請使用健保資料合理利用,本府為規範使用資料之業務機關及轄屬妥適應用健保資料,落實資訊安全,避免個人資料不當使用或外洩,保障個人隱私,特訂定本管理要點。
二、 適用機關及業務範圍如下:
(一) 依據身心障礙者參加社會保險保險費補助辦法第八條及第九條規定,辦理身心障礙者參加社會保險保險費補助作業。
(二) 依據稅捐稽徵法第十八條至第十九條及第三十條,行政程序法第六十七條至第六十九條及第七十一條至第七十三條,土地稅法第四十條、第四十三條、第四十六條及第四十九條,房屋稅條例第十二條及使用牌照稅法第十條,辦理土地稅稽徵及催繳作業、房屋稅稽徵業務、使用牌照稅稽徵、催繳作業及欠稅執行業務。
(三) 依據老人福利法第二十一條及老人健康檢查保健服務及追蹤服務凖則,辦理六十五歲以上長者健康檢查保健服務實施計畫。
(四) 依據傳染病防治法第七條,辦理協尋傳染病或有傳染病之虞個案。
(五) 依據兵役法第一條、第三十二條及徵兵規則第四條規定,辦理役男徵兵處理業務。
(六) (刪除)
(七) 依據特殊境遇家庭扶助條例第九條規定,辦理特殊境遇家庭扶助業務。
(八) 依據兒童及少年福利與權益保障法第五十四條及第七十條規定,辦理兒童及少年保護、脆弱家庭個案管理及六歲以下弱勢兒童主動關懷方案。
(九) 依據家庭暴力防治法第一條、精神衛生法第六條及自殺防治法第十三條,辦理家庭暴力防治業務、強化社會安全網計畫及整合型心理健康工作計畫。
(十) 依據傳染病防治法第三十條及預防接種受害救濟基金徵收及審議辦法第七條,辦理各項疫苗接種業務之預防接種受害情形調查。
(十一) 依據兒童及少年福利與權益保障法第十三條規定,辦理南投縣兒童死亡原因回溯分析案例討論會議相關業務。
(十二) 依其他法令規定,由本府向衛生福利部中央健康保險署申請通過後,提供本府及所屬機關辦理相關業務。
三、 使用者管理
(一) 人員說明
本府計畫處負責本府各業務機關管理者帳號之設定及配賦。業務機關管理者負責該機關使用者帳號之設定及配賦等作業。業務機關管理者帳號之申請方式依本府訂定之申請表(如附件),函送本府計畫處申請。
(二) 申請程序及管理
1. 使用者申請程序及管理
(1) 帳號新增或異動須經申請,申請時應列明健保資料查詢權限,並由權責主管核可後,交由管理者配賦帳號及查詢權限,且保留紙本申請單(如屬線上申請簽核免列)及電腦紀錄。
(2) 健保資料應用含轄屬機關(單位),應採分層負責。由上層級配賦同層級內部使用者及下一層級管理者,最後一層級配賦內部使用者。各層級單位管理者及使用者均應提出申請,並經機關或單位核准。
(3) 帳號及密碼通知過程應具保密措施,防止被竊視及竊取。
(4) 管理者及使用者不得使用非本人申請之帳號,帳號不得交接予他人,且不得和他人共用。
(5) 密碼應規範適當長度及複雜度(如英數字及大小寫混和),系統應要求使用者定期更改密碼(建議為三個月),使用者密碼應妥善保管,避免他人知悉。
(6) 使用者職務異動時,應於職務異動前辦理帳號異動程序,並於異動前或當日,由管理人員停止原帳號。
(7) 管理者職務異動時,應於職務異動前辦理帳號異動程序,並於異動前或當日,由承接之新任管理者於承接業務時停止原管理者帳號,並新增新管理者帳號,機關之系統無法變更管理者帳號時,新任管理者應立即變更管理者密碼。
2. 管理者應定期辦理帳號清查,檢視使用者權限,並廢止重複、閒置、職務調整、離職及退休者帳號。
四、 資料安全管制作業
(一) 查詢健保資料管制措施
1. 使用者查詢健保資料時,應填寫或輸入案號及查詢事由,應填寫申請單查詢用途並經單位主管核可,作為日後查核依據。
2. 查詢健保資料應避免非業務權責人員閱覽、擷取及破壞。
3. 查詢健保資料完竣後,如有併案或附卷必要,應妥善保管,紙本應以密件方式保存,電子檔應有存取權限控管。
4. 應紀錄查詢者帳號、查詢日期、時間、查詢作業代號、被查詢者查詢條件、查詢案號及查詢事由等查詢日誌,並保留五年。
(二) 資料銷毀程序
1. 取得健保資料檔,應指定專人或由系統定期清除,以防範資料被不當存取。
2. 查詢健保資料完竣後,如可銷毀,紙本文件應銷毀至無法辨識,電子檔如無保留必要性,應即刪除。
3. 每年應檢視已申請核准之健保資訊連結作業之使用情形,如已無需求者,應函請資料提供機關終止該連結作業。
五、 定期查核及稽核
(一) 業務單位或資訊單位(依機關業務分工)每月列印查詢紀錄單,供查核人員查核,每月抽查比率至少為百分之三,每月抽查筆數不得少於十筆,查詢總筆數少於十筆者,應全數查核。查核人員為該業務機關內使用者之股長以上人員,無股別者為科長。
(二) 前項查核結果,應保留五年備查,遇有查詢異常現象,業務單位會同政風單位及資訊單位共同調查,並作成稽核紀錄。
(三) 業務機關每半年應指派人員辦理機關及轄屬機關(單位)內部稽核工作,所有稽核工作均應作成稽核紀錄,保留五年備查。
(四) 對於資料提供機關實施稽核時,應備妥使用者清冊及稽核紀錄及提供相關稽核資料。
(五) 於每年二月前,由各業務機關提供上一年之使用者清冊(管理者帳號、使用者帳號)、查詢紀錄單、查核紀錄、稽核紀錄等相關資料報府備查。
六、 相關法律責任
(一) 對於取得資料之處理及利用,違反個人資料保護法(以下簡稱個資法)規定,致當事人權益受損者,由使用單位負完全責任,並應負個資法第二十八條之損害賠償責任,與個資法第三十一條國家賠償責任。
(二) 意圖營利或無故洩漏個人資料,或違法及重大不當行為,依法負民事及個資法之刑事責任,並由所屬之主管機關行政議處。
(三) 機關管理者或單位管理者未善盡管理之責,致未經授權之使用者,或因職務調整、離職或退休等原因已無使用健保資料權限者,可使用健保資料,且不當使用健保資料,致當事人權益受損者,應由所屬之主管機關議處機關管理者或單位管理者之行政責任。
(四) 如違反其他法律規定,依其規定追究責任。
七、 相關文件
(一) 全民健康保險保險人對外提供資料作業要點
(二) 個人資料保護法
(三) 南投縣政府查詢中央健康保險署健保資料機關管理者申請表