您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

訂定「國軍退除役官兵輔導委員會及所屬機構使用勞動部勞工保險局業務資料管理規定」,自即日生效

主管機關: 國軍退除役官兵輔導委員會
發布機關: 國軍退除役官兵輔導委員會
發布日期: 113.11.27
發布字號: 輔統字第1130084527號函
異動性質: 訂定
法規名稱: 國軍退除役官兵輔導委員會及所屬機構使用勞動部勞工保險局業務資料管理規定
容:

一、國軍退除役官兵輔導委員會(以下簡稱本會)為規範本會及所屬機構

連結介接勞動部勞工保險局(以下簡稱勞保局)業務資料,以落實資

訊安全管理及個人資料保護,特訂定本規定。

本規定未規定者,依個人資料保護法(以下簡稱個資法)、資通

安全管理法、各機關使用勞動部勞工保險局業務資料管理規定及其他

相關法令規定辦理。


二、本會及所屬機構使用勞保局業務資料(以下簡稱勞保局資料),以退

除役官兵申請就養、服務照顧、就學、就業、就醫及退除給付等業務

查證需要,在法定職務必要範圍為之(適用機關、使用目的及法律依

據如附件一)。


三、勞保局資料連結介接方式如下:

(一)線上資料查詢(Web IR)。

(二)電磁紀錄之檔案傳輸,原則採政府資料傳輸平臺(T-Road)進行
   機關資料交換作業。


四、本會與勞保局批次檔案傳輸交換取得之資料,由本會統計資訊處專責

人員操作資訊系統,將資料上傳入檔至本會退除役官兵及其眷屬資料

庫(以下簡稱本會資料庫)。

本會委託廠商(以下簡稱委辦廠商)負責系統功能維護工作,其

辦理業務事項為排除系統問題或障礙。

本會對委辦廠商之安全管制措施如下:

(一)勞保局資料僅存放於本會資料庫,委辦廠商不得持有或保管資料。

本會有系統功能維護需求時,由委辦廠商派員親至本會處理,且不

得將資料攜離本會。

(二)委辦廠商進行系統功能維護工作前,須先向本會統計資訊處申請帳

號及權限,經本會統計資訊處資安專責人員核准後,至本會統計資

訊處電腦機房指定地點登錄監控錄影系統,始得進行系統功能維護

工作。

(三)本會每年派員至委辦廠商辦公處,針對資訊安全暨個資保護業務辦

理實地稽核。稽核結果若發現有缺失,則要求委辦廠商改善,並於

一個月內回報本會改善情形。

(四)委辦廠商及其受僱人處理本會委託事項,如發生個人資料安全事故

或疑似事故時,應即時通報本會統計資訊處,並採取必要之緊急應

變措施,同時提供事故調查、責任釐清及避免損害擴大之防免措施

(五)委辦廠商及其受僱人須簽署保密切結書,就履行專案期間所知悉之

本會各項資訊系統作業事項、個人資料、敏感性業務檔案資料或其

他任何法令上或業務上需保密之文件及資料等,善盡保密責任。

(六)委辦廠商及其受僱人須配合本會辦理適任性查核。


五、本會連結介接勞保局資料,符合索取個人資料最小化原則(本會取得

勞保局資料之項目、用途及法規依據如附件二、三),並以退除役官

兵或其眷屬投保下列各款社會保險及退休金資料為限:

(一)勞工保險、就業保險、勞工職業災害保險。

(二)勞工退休金。

(三)農民健康保險。

(四)農民職業災害保險。

(五)老年農民福利津貼。

(六)國民年金保險。


六、權責劃分如下:

(一)本會統計資訊處為機關管理者,其負責事項如下:

1.連線作業申辦及終止事宜。

2.連線作業網路安全之管理。

3.將介接之勞保局資料上傳入檔至本會資料庫。

4.本會資料庫之管理,包含系統安全機制設計、帳號權限之設定及定期審

查、網路防火牆之設置等。

5.發生資安事件時,依「各機關資通安全事件通報及應變處理作業程序」

進行通報作業。

6.指定專責人員負責勞保局資料之處理與安全維護事項,並造冊列管資料

使用及查詢人員。

7.前目指定之專責人員,應依資通安全管理法、資通安全責任等級分級辦

法及其附表一至十規定,接受並完成資通安全教育訓練。

8.配合勞保局辦理資訊面檢查及稽核事項。

(二)本會業管處負責事項如下:

1.審查所屬機構查詢帳號之申請與停用。

2.控管資料使用人員異動情形。

3.定期查核所屬機構應用勞保局資料情形。

4.每年檢視勞保局資料連結介接作業需求,並保留檢視紀錄備查。如遇本

會法令變更或已無資料連結介接作業需求,應通知統計資訊處函請勞保

局終止該項作業。

5.配合勞保局辦理業務面檢查及稽核事項。

(三)本會所屬機構負責事項如下:

1.指定專責人員負責查調紀錄、控管資料使用人員異動情形及相關資料保

管工作,如有違法情形,應將查處情形陳報本會。

2.配合勞保局或本會辦理檢查及稽核作業。


七、帳號權限管理:

(一)申請使用本會應用系統查詢勞保局資料,應循使用本會應用系統申

請程序辦理。申請使用(停用)勞保線上資料查詢(Web IR)系統

,應填寫使用(停用)申請表(格式如附件四),經單位主管或機

構首長審核同意(所屬機構應再送交本會業管處覆核),移統計資

訊處據以開通(停止)查詢權限;使用者離職或職務調整時,由原

申請單位或機構填寫停用表,最遲於異動當日提出申請,由機關管

理者調整其權限或註銷帳號,並保存申請及簽核紀錄至少五年。

(二)勞保線上資料查詢(Web IR)系統使用員額,以本會業管處及所屬

機構各配置二人為原則。但查詢量大或特殊使用單位,得申請增額

配置。

(三)工友、技工、駕駛及替代役四類人員不得申請使用。

(四)管理或使用勞保局資料取得之帳號、密碼應妥善保管,避免他人知

悉,且不得使用非本人申請之帳號。

(五)使用人員須以自然人憑證登入勞保線上資料查詢(Web IR)系統,

並不得將自然人憑證借予他人使用。登入個人電腦之密碼長度應至

少八碼以上,並混合大小寫英文字母、數字及特殊符號,每半年應

更換密碼,且不得與前三次密碼相同。

(六)專責人員應每半年辦理帳號權限清查,並檢視使用人員權限是否符

合權限最小化原則。如有重複、長期閒置、調整職務、離職或退休

者帳號,應即時調整權限或註銷帳號,並保存清查紀錄至少五年。


八、資料安全管理:

(一)本會及所屬機構人員使用或查詢勞保局資料,應填寫或輸入案號及

事由,作為日後查核依據。

(二)本會及所屬機構對於勞保線上資料查詢(Web IR)系統之利用,不

得為資料庫之恣意聯結,且不得濫用,並應避免非業務權責人員閱

覽、擷取及破壞。

(三)使用人員於網路連線查詢作業完畢後,應即離線登出,以免遭他人

冒用。

(四)使用人員查詢資料完竣後,如有併案或附卷必要,應妥善保管,紙

本應以密件方式保存,電子檔應進行檔案加密。

(五)依本規定所為之業務資料使用,應留存系統日誌與使用軌跡紀錄,

且至少保存五年。

(六)勞保局提供之批次檔案傳輸資料,本會統計資訊處應指定專責人員

登記列管,並檢核資料之完整性。

(七)本會將勞保局資料載入系統應用時,由統計資訊處管制資料存取權

限及使用期限。本會及所屬機構人員如有使用應用系統查詢勞保局

資料之需求,須申請並經權責長官核准後,由統計資訊處協助開通

存取權限。使用人員須在核准業務範圍內使用資料,並禁止將資料

攜出辦公場所。

(八)勞保局提供之批次檔案傳輸資料,經上傳入檔至本會資料庫後,對

資料庫之存取、增刪異動紀錄應至少保存五年。


九、資料使用期限、刪除程序及刪除期限:

(一)資料使用期限:本會及所屬機構使用本資料之使用期限,至業務目

的所對應之本規定第二點所列法律依據或重大政策依據及計畫廢止

為止。

(二)資料刪除程序:勞保局傳送之原始檔案,於入檔成功後,即由排程

自動刪除,無留存暫存檔、備份檔及其他衍生檔案;使用人員經由

線上查詢(Web IR)所下載之電子檔案或列印之紙本資料如已無保

留必要,應即刪除或銷毀,完成刪除或銷毀程序之佐證資料應至少

保存五年。

(三)資料删除期限:資料使用期限屆滿或使用完竣,經本會統計資訊處

確認無保存必要,應於一個月內刪除。


十、稽核作業:

(一)本會統計資訊處應每年會同本會政風處,針對本會及所屬機構使用

勞保局資料辦理內部稽核工作,抽查比率至少為使用量百分之二,

稽核紀錄應至少保存五年。

(二)本會業管處及所屬機構應每半年利用查詢軌跡紀錄,辦理資料安全

稽核工作。針對勞保線上資料查詢(Web IR)作業,本會業管處應

每半年抽查稽核所屬機構個案查調佐證資料及線上查詢紀錄簿,受

稽機構應檢附相關卷資備檢。抽查比率至少為使用量百分之二,稽

核紀錄應至少保存五年。

(三)本會統計資訊處應每年辦理個人資料項目盤點、個資外洩風險評估

處理及個人資料保護自評工作,盤點及風險評估處理項目皆包含勞

保局資料,並將稽核作業均作成稽核紀錄,至少保存五年。

(四)勞保局辦理書面或實地稽核作業時,本會及所屬機構應配合提供使

用人員清冊、稽核紀錄及相關稽核資料。經稽核後發現有異常狀況

或違反相關管理規定者,應立即提出說明並改善。


十一、本會已導入資訊安全管理系統(ISMS)規範,使用勞保局資料應切

實遵守ISO 27001資訊安全標準及本會資訊安全管理系統相關規定

,並應配合進行資訊安全檢測及資安稽核。


十二、申請運用勞保局資料之使用人員、專責人員、單位主管或委辦廠商

等相關人員應妥善保管及利用所取得之資料;其違反相關規定者,

應依下列規定追究:

(一)不當使用勞保局資料,致個人資料遭不法蒐集、處理、利用或其他

侵害當事人權利者,依個資法第二十八條、第三十一條及國家賠償

法規定,負損害賠償責任。

(二)意圖為自己或第三人不法利益或損害他人之利益,而違反個資法第

六條第一項、第十五條或第十六條規定,足生損害於他人者,依個

資法第四十一條規定負刑事責任;意圖為自己或第三人不法之利益

或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其

他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,依

個資法第四十二條規定負刑事責任。

(三)如涉及行政責任,應由權責單位議處;相關管理人員未盡善良管理

人注意義務者,亦同。


十三、本會及所屬機構如發生個人資料安全事故或疑似事故,應依相關法

令採取必要之緊急應變措施並由本會統計資訊處即時通報勞保局,

同時提供事故調查、責任釐清及避免損害擴大之防免措施。

圖表附件: