隱私安全政策

:::


隱私安全政策 1.目的：為確保佛教慈濟醫療財團法人台中慈濟醫院及相關受託醫院（以下簡稱「本院」）所屬之隱私資訊的機密性、完整性及可用性、法律遵循性，並符合「個人資料保護法（以下簡稱個資法）」、「個人資料保護法施行細則」之要求及保障資料當事人權利，以降低任何隱私資料檔案侵害事件可能帶來之衝擊，特訂定本政策。 2.適用範圍：本政策適用範圍為本院之全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等。 3.定義： 3.1 隱私安全保存隱私資訊(包括得以直接或間接方式識別特定自然人的各種資料)的機密性、完整性、可用性、法律遵循性，為避免因人為或自然災害等風險導致被竊取、竄改、毀損、滅失或洩漏，運用系統化之控制措施，以確保隱私安全管理制度範圍內之隱私資訊檔案受到妥善保護。 3.2 隱私資訊指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 3.3 隱私安全事件 3.3.1 隱私資訊發生被竊取、竄改、毀損、滅失、洩漏或其他侵害等事故。 3.3.2 發生違反隱私相關法令或本院隱私保護相關規定之情形。 3.3.3 其他涉及隱私安全之事件或事故。 4.作業內容： 4.1 目標： 4.1.1 符合我國隱私資訊保護相關法令法規及中央目的事業主管機關之相關要求。 4.1.2 對隱私資訊之蒐集、處理及利用過程，將以誠實及信用方法為之，不逾越特定目的之必要範圍、並應與蒐集之目的具有正當合理之關聯。 4.1.3 提供隱私資訊檔案適當之安全措施，以確保本院得以盡良善管理之注意義務。 4.1.4 保護本院業務相關隱私資訊之安全，免於因外在威脅或內部人員不當之管理與使用，致遭受竊取、竄改、毀損、滅失、或洩漏等風險。 4.1.5 提升對隱私資訊之保護與管理能力，降低營運風險，並創造可信賴之隱私資訊保護及隱私環境。 5.1責任： 5.1.1 本院依業務規模及特性，各單位指派隱私擔當及相當資源，以規劃、訂定、修正與執行本政策，以及個人資料當事人於業務終止後隱私資訊處理之方法。 5.1.2 定期查核確認所保有之隱私資訊現況，界定納入本政策、隱私資料保護與管理之範圍。 5.1.3 本院隱私資訊範圍及業務涉及隱私資訊蒐集、處理、利用之流程時，需評估可能產生之隱私資訊相關法規或行為風險，並根據評估、分析結果，訂定適當安全維護措施與管理辦法。 5.1.4 本院全體同仁、委外廠商及資訊使用者(含保管者)均有責任透過適當通報機制，通報資通安全事件或弱點。 5.2 管理指標： 5.2.1 為評量隱私安全管理目標達成情形，本院應訂定相關管理指標，並定期監控、評估及改善。 5.2.2 應定期審查本院資通安全組織人員執掌，以確保資通安全工作之推展。 5.2.3 應加強本院儲存隱私資訊之環境安全，採取適當之保護及權限控管機制。 5.2.4 應確保資訊不被透漏給未經授權之第三者。 5.2.5 應加強存取控制及資料遮蔽，防止未經授權之不當存取，以確保本院隱私資產已受適當之保護。 5.2.6 應確保所有隱私安全事件，均依循主管機關之通報機制向上反應，並予以適當調查及處理。 5.3 管理審查：本政策應每年至少審查1次，確保隱私資訊管理制度運作之適切性及有效性。隱私安全工作小組、主管機關(或法令、法規要求)、或專家學者等利害關係者如有隱私安全相關回饋事項，應將列入管理審查會議之討論議題。 5.4實施：本政策經「資通發展暨安全管理委員會」核定後實施，修訂時亦同。

隱私安全政策

1.目的：

為確保佛教慈濟醫療財團法人台中慈濟醫院及相關受託醫院（以下簡稱「本院」）所屬

之隱私資訊的機密性、完整性及可用性、法律遵循性，並符合「個人資料保護法（以下

簡稱個資法）」、「個人資料保護法施行細則」之要求及保障資料當事人權利，以降低任

何隱私資料檔案侵害事件可能帶來之衝擊，特訂定本政策。

2.適用範圍：

本政策適用範圍為本院之全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等。

3.定義：

3.1 隱私安全

保存隱私資訊(包括得以直接或間接方式識別特定自然人的各種資料)的機密性、完整性、可用性、法律遵循性，為避免因人為或自然災害等風險導致被竊取、竄改、毀損、滅失或洩漏，運用系統化之控制措施，以確保隱私安全管理制度範圍內之隱私資訊檔案受到妥善保護。

3.2 隱私資訊

指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

3.3 隱私安全事件

3.3.1 隱私資訊發生被竊取、竄改、毀損、滅失、洩漏或其他侵害等事故。

3.3.2 發生違反隱私相關法令或本院隱私保護相關規定之情形。

3.3.3 其他涉及隱私安全之事件或事故。

4.作業內容：

4.1 目標：

4.1.1 符合我國隱私資訊保護相關法令法規及中央目的事業主管機關之相關要求。

4.1.2 對隱私資訊之蒐集、處理及利用過程，將以誠實及信用方法為之，不逾越特定目的之必要範圍、並應與蒐集之目的具有正當合理之關聯。

4.1.3 提供隱私資訊檔案適當之安全措施，以確保本院得以盡良善管理之注意義務。

4.1.4 保護本院業務相關隱私資訊之安全，免於因外在威脅或內部人員不當之管理與使用，致遭受竊取、竄改、毀損、滅失、或洩漏等風險。

4.1.5 提升對隱私資訊之保護與管理能力，降低營運風險，並創造可信賴之隱私資訊保護及

隱私環境。

5.1責任：

5.1.1 本院依業務規模及特性，各單位指派隱私擔當及相當資源，以規劃、訂定、修正與執行本政策，以及個人資料當事人於業務終止後隱私資訊處理之方法。

5.1.2 定期查核確認所保有之隱私資訊現況，界定納入本政策、隱私資料保護與管理之範圍。

5.1.3 本院隱私資訊範圍及業務涉及隱私資訊蒐集、處理、利用之流程時，需評估可能產生之隱私資訊相關法規或行為風險，並根據評估、分析結果，訂定適當安全維護措施與管理辦法。

5.1.4 本院全體同仁、委外廠商及資訊使用者(含保管者)均有責任透過適當通報機制，通報資通安全事件或弱點。

5.2 管理指標：

5.2.1 為評量隱私安全管理目標達成情形，本院應訂定相關管理指標，並定期監控、評估及改善。

5.2.2 應定期審查本院資通安全組織人員執掌，以確保資通安全工作之推展。

5.2.3 應加強本院儲存隱私資訊之環境安全，採取適當之保護及權限控管機制。

5.2.4 應確保資訊不被透漏給未經授權之第三者。

5.2.5 應加強存取控制及資料遮蔽，防止未經授權之不當存取，以確保本院隱私資產已受適當之保護。

5.2.6 應確保所有隱私安全事件，均依循主管機關之通報機制向上反應，並予以適當調查及處理。

5.3 管理審查：

本政策應每年至少審查1次，確保隱私資訊管理制度運作之適切性及有效性。隱私安全工作小組、主管機關(或法令、法規要求)、或專家學者等利害關係者如有隱私安全相關回饋事項，應將列入管理審查會議之討論議題。

5.4實施：

本政策經「資通發展暨安全管理委員會」核定後實施，修訂時亦同。