一、南投縣政府 (以下簡稱本府)為規範使用電子化政府服務平臺勞動部勞工保險局資訊中介服務(以下簡稱勞保WebIR),並確保妥適應用勞動部勞工保險局(以下簡稱勞保局)資料,落實資訊安全,避免個人資料不當使用或外洩,依據各機關使用勞動部勞工保險局業務資料管理規定訂定本管理規範。
二、本府依社會救助法第四十四條之三、老人福利法第十二條之一、身心障礙者權益保障法第七十一條之一、身心障礙者參加社會保險保險費補助辦法第九條及勞動基準法第七十條規定,供本府社會及勞動局辦理社會救助、老人福利法各項現金給付或補助業務、補助與扶助業務所需之必要資料、身心障礙者權益保障法第七十一條所列經費補助業務及勞資協商等,申請使用勞保局資料,以取得最小化個人資料即能達成目的為原則,避免過度蒐集個人資料。
三、資料安全管制作業及處理資料保密措施
(一)本府社會及勞動局置總管理者一名,負責各使用單位管理者勞保WebIR權限申請之受理與管理、稽核作業及安全維護事項,並接受資通安全教育訓練;總管理者如有業務調動、離職情事,須報請電子化政府服務平臺處理。
(二)各使用單位管理者新增或異動時應填寫申請書,經所屬主管核可後,向總管理者申請設定權限;使用者新增或異動時應填寫申請書,經所屬主管核可後,向單位管理者提出申請,經核准後設定權限;單位管理者應保留申請表單至少五年,以供本府社會及勞動局稽核使用。
(三)使用者因業務調整或停(離、調)職時,應填妥相關申請書並通知管理者將其使用權限撤銷,註銷後如有業務使用需求依程序重新申請帳號。
(四)使用者及管理者對於帳號及密碼負有保密之責,嚴禁洩漏與他人或與他人共用,並定期更改密碼,避免他人悉知或使用。
(五)有關帳號及密碼之相關設定,應依我的e政府系統平台相關規定辦理。
(六)總管理者及單位管理者應定期辦理帳號權限清查,並檢視使用者權限是否符合權限最小化原則,如有重複、閒置、職務調整、離職或退休者帳號,應即時調整權限、廢止或註銷,並留存清查之紙本紀錄五年。
(七)總管理者及單位管理者職務異動時,應於職務異動前辦理帳號異動程序,並於異動前或當日,由新任管理者承接業務新增其管理者帳號後,停止原管理者帳號。並將相關使用者名冊及稽核紀錄文件資料列冊移交新管理者。
(八)使用者職務異動時,應於職務異動前辦理帳號異動程序,並於異動前或當日由管理者調整權限、廢止或註銷原帳號,並將保管之紙本或電子資料(檔案)及相關書面文件移交。
(九)本府應每年檢視已申請核准之作業使用情形,並保留檢視紀錄備查。如遇法令變更或已無資料連結介接作業需求者,應函請勞保局終止該項作業,並依本規範第四點資料刪除程序及期限辦理。
(十)相關人員應限於執行特定職務必要範圍內得蒐集、處理或利用介接資料,並應以取得最小化個人資料即能達成目的為原則,避免過度蒐集個人資料,不得對外公開、移轉或轉讓他人,亦不得傳送至國外。
四、使用資料管制措施
(一) 作業規範與日誌、軌跡紀錄保存
1. 使用者查詢資料時,應填寫或輸入案號及查詢事由,做為日後查核依據。
2. 查詢資料應避免非業務權責人員閱覽、擷取及破壞。
3. 查詢資料完竣後,如有併案或附卷必要,應妥善保管,紙本應以密件方式保存,電子檔應有存取權限管控。
4. 連線查詢資料逾時,系統應自動登出。
5. 資料不得任意複製,如有複製資料之業務需要,應經申請核准後,始得複製,資料傳送時應採取適當的保密措施。
6. 系統應記錄查詢者帳號、查詢日期、時間、作業代號、被查詢者查詢條件、案號及事由、結果等之日誌與軌跡紀錄,至少保存五年。
(二) 各項申請資料之使用期限,對應之本管理規範第二點所列法律依據廢止為止。
(三) 資料刪除程序及期限
1. 線上查詢或經由網路取得資料檔,每月由管理者執行刪除,以防範資料被不當存取。
2.線上查詢資料完竣後,如無保留之必要,紙本文件應銷毀至無法辨識,並留存銷毀紀錄,銷毀紀錄應影本一份提供本府相關業務單位備查;電子檔如無保留必要性,應即刪除。
3. 儲存於電腦設備或系統之資料檔案,使用完竣且確認無保存必要,應
立即刪除資料檔案,並確認其資料檔案無法復原。
4. 儲存於可攜式媒體之資料檔案,使用完竣且確認無保存必要,應立即
辦理銷磁或銷毀作業。
5.資料刪除範圍應包含暫存檔、備份檔及其他於機關內部所保有之衍生檔案。
6.相關處理紀錄應至少保留五年以供後續稽核。
五、督考查核及相關稽核措施
(一)本府應每年辦理資料安全稽核工作,並應包含使用勞保局資料之作業,作成稽核紀錄,至少保存五年。
(二)使用機關應每月列印查詢紀錄單,供查核人員查核,每半年抽查比率至少為百分之三,每次抽查筆數不得少於十筆,查詢總筆數少於十筆者,應全數查核,查核結果應保留五年;若遇有查詢異常現象,業務單位會同政風單位及資訊單位共同調查,並作成稽核紀錄,至少保存五年。
(三)本府應配合勞保局書面或實地稽核措施,如被稽核之單位應備妥使用者清冊、稽核紀錄及提供相關稽核資料,配合進行稽核作業。經發現有異常狀況者,勞保局得要求限期提出說明或改善措施,被稽核之單位應配合辦理之。所有稽核工作均應作成稽核紀錄,至少保留五年備查。
(四)勞保局如發現有妨礙、規避、變更相關管理功能或技術,或違反本規定者,得通知其限期改善,屆期未改善或情節嚴重無法改善者,終止或暫停其資料連結介接作業。
(五)經依前款規定終止或暫停介接資訊連結作業,而其情節得改善者,應於完成改善後,提具佐證資料重新申請。
六、指定專責人員辦理安全維護事項
(一)本府應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
(二)專責人員應依資通安全管理法、資通安全責任等級分級辦法暨其資通安全責任等級之公務機關應辦事項,接受並完成相應之資通安全教育訓練。
七、本府已導入資訊安全管理系統(ISMS)規範,使用勞保局資料應切實遵循ISO/IEC 27001資訊安全管理系統標準及本府資訊安全管理系統相關規定,並應配合進行資訊安全檢測及資安稽核。
八、如發生個人資料安全事故或疑似事故時,應依相關法令採取必要之緊急應變措施,如事故調查、責任釐清及避免損害擴大之防免措施。另應即時通報勞保局並提供前開相關資料。
九、相關法律責任
(一)使用者對於取得資料之處理及利用,違反個人資料保護法規定,致當事人權益受損者,由使用者負完全責任,並應負同法第二十八條之損害賠償責任,與同法第三十一條國家賠償責任。
(二)使用者意圖營利或無故洩漏個人資料,或違法及重大不當行為,依法負民事及個資法之刑事責任,並由所屬之主管機關行政議處。
(三)如違反其他法律規定,依其規定追究責任。