合記圖書出版社個人資料檔案安全維護計畫及業務終止後個人資料處理方法
一、(目的)
說明:為防止個人資料被竊取、竄改、毀損、滅失或洩漏,本公司所屬人員應依本計畫及方法辦理個人資料檔案安全維護及業務終止後個人資料處理事項。
二、(目前資料安全管理措施)
(一)本公司所屬人員禁止在公司內部使用私人可攜式設備(例如USB
隨身碟、外接硬碟、筆記型電腦、手機、記憶卡等),防止儲存
公司所保有個人資料檔案。
(二)本公司所保有個人資料檔案以加密方式儲存,並僅供經授權之所
屬人員得開啟處理、利用。
(三)在網際網路傳輸個人資料時,亦是以加密方式處理。
(四)本公司所保有之個人資料存在於紙本者,於交易完成,依稅務規
定保存期限屆滿,以碎紙、委外焚化等方式銷毀。
(五)本公司所保有之個人資料儲存於磁碟、光碟片等媒介物者,該媒
介物依法保留期限屆滿時,報廢採取消磁、剪斷、敲碎等破壞措
施,以免為他人藉由該媒介物取得個人資料。
(六)本公司委託他人執行紙本、磁碟、光碟片等媒介物銷毀時,與受
委託事業簽訂承攬契約,以要求廠商約定即時共同處理,並派員
監督全程處理程序並留存相關事證。
三、(人員管理措施)
(一)本公司所屬人員使用電腦設備蒐集、處理、利用個人資料,經公
司授以專屬帳號密碼登入電腦系統,並設定存取個人資料檔案權
限,僅供其職掌業務範圍使用。
(二)所屬人員因業務需求而須利用非權限範圍之特定個人資料者,
於事前提出申請,並經業務主管人員同意後,開放權限利用,而於業務完成後,立即取消其權限,以維護個資之安全性。
(三)本公司所屬人員均簽署保密協定,任職於本公司期間因業務所接觸個人資料應負保密責任。
(四)本公司所屬人員,均有權限管控,無法使用個人資料。
(五)員工申請離職時,該名離職員工辦理交接時,其使用過之授權密碼立即更換或刪除,以防止被盜用。
四、(設備安全管理措施)
(一)本公司所保有個人資料及交易明細存在於紙本者,於款項收取完
成後,存放於上鎖之保管箱或檔案室,僅業務主管有開啟調閱權
限。
(二)其他所屬人員因業務需要而須調閱個人資料者,應事前提出申
請,經業務主管人員同意後調閱。
(三)本公司個人使用之電腦,於硬體上拆除能拷貝之USB插槽,以
防止員工私下使用。
(四)儲存個人資料紙本之保管箱或檔案室,已設置監視系統裝置,加
強安全措施。
(五)儲存個人資料之電腦主機系統,除了設置防火牆,以降低外部入
侵風險,並於主機置放之機房設置門禁、監視錄影及消防設備。
(六)遵守一般電腦安全維護之有關規定。
五、(個資盤點辦法)
(一)每年6月及12月清查會員資料,並針對3年內未消費之客戶,
主動刪除其會員資料,並停止使用該個人資料,以防止個資存在
之風險。
(二)針對剩餘會員資料加以彙整審核,以維護其資訊安全及正確性。
六、(風險評估)
(一)定期評估會員資料之內容,如發生被竊取、洩漏、竄改或其他侵
害事件等,對個人產生之衝擊程度並強化相關保護管制措施。
(二)依據個人資料在不同的生命週期中(包含:蒐集、使用、處理、
傳輸、儲存、銷毀等),及不同的風險結構、進行風險評估。
(三)依風險評估結果,由各風險項目負責人針對高風險之個人資料檔
案擬定改善措施,以期將風險降至可接受程度。
七、(事故應變)
(一)主動通報:
․如經內部人員發現個資具有潛在被竊取、洩漏、竄改等風險,
所屬人員應立即通報個資處理人員,並副知主管。確認個資事
件後,按通報及處理應變措施作業(採取因應措施、協助保存
證據、鑑別事件發生根本原因等)。
․主動以電話、簡訊、電子郵件通知客戶,防止詐騙事件發生。
(二)被動通報:
․如經消費者告知接獲詐騙電話等事件,立即協助消費者釐清遭
騙細節並通知警政單位。
․通知網路平台業者進行調查及回報處理結果。
․以電話、簡訊、電子郵件通知客戶,防止詐騙事件發生。
八、(個人資料取得具體程序)
蒐集個人資料時告知目的並應取得同意,資料匯入會員資料庫時遵
循人員個資相關保護措施,個人資料僅供訂單出貨處理,不做其他
用途。故禁止向客戶索取身分證字號等與郵寄書籍無關之個資。
․個人資料取得方式分為以下三種程序:
(1.)門市直接向購書客戶取得。
(2.)網路銷售時,客戶於加入會員時填寫。
(3.)客戶來電訂購時,於電話中詢問出貨所需個資。
九、(內部稽核)
(一)每半年進行稽核一次,以確保個資儲存、使用均依照規定進行。
(二)所屬人員應定期(三個月)更換個人使用之密碼,以提高安全性維
護。
(三)每月公司業務會議提出相關個資使用情況彙報。