跳到主要內容區塊 :::

討論時間

0

主(協)辦單位 衛生福利部

衛生福利部公告:預告「醫院個人資料檔案安全維護計畫實施辦法」草案

MINISTRY OF HEALTH AND WELFARE Notice is hereby given, to commence a period of public comments for drafting "Regulations Governing the Hospital's Plan of Security Maintenance for Personal Information Files"


衛生福利部公告 中華民國10927
衛部醫字第1091660430

主  旨:預告訂定「醫院個人資料檔案安全維護計畫實施辦法」草案。

依  據:行政程序法第一百五十四條第一項。

公告事項:

一、訂定機關:衛生福利部。

二、訂定依據:個人資料保護法第二十七條第三項。

三、「醫院個人資料檔案安全維護計畫實施辦法」草案如附件。本草案另刊載於本部網站(網址:http://www.mohw.gov.tw)「法令規章」之衛生福利法規檢索系統網頁及全國法規資料庫網站(網址:http://law.moj.gov.tw/)法規草案項下網頁。

四、對於本公告內容有任何意見或修正建議者,請於本公告刊登公報次日起60日內陳述意見或洽詢:

() 承辦單位:衛生福利部醫事司

() 地址:臺北市南港區忠孝東路6488

() 電話:(02)85906666分機7383

() 傳真:(02)85907087

() 電子郵件:mdyj318@mohw.gov.tw

部  長 陳時中

 

醫院個人資料檔案安全維護計畫實施辦法草案總說明 及逐條說明請參見PDF

 

 

Top

本則草案預告,衛生福利部已於109年7月10日公告,相關資訊與連結如下

衛生福利部 中華民國109年7月10日 衛部醫字第1091664060號

衛生福利部令:訂定「醫院個人資料檔案安全維護計畫實施辦法」

MINISTRY OF HEALTH AND WELFARE Order is hereby given, for the promulgation of "Regulations Governing the Hospital's Plan of Security Maintenance for Personal Information Files"

機關綜整回應

2020-07-07

綜整回應:

本草案於109年2月12日至4月13日預告期間,感謝各界對本草案提供之意見,本部均已瀏覽並納入考量,我們將所有留言分類並彙總回應如下,後續將再審慎參考預告期間之各方意見予以修正後,辦理發布作業,建請可隨時留意本部之公告事項。

綠燈 - 採納/ 紅燈 - 不採納 / 黃燈 - 部分採納或尚須研議

意見主軸

對應條文

留言內容

參採情形

回復說明

個資異地備份計畫

第4

第5

這部草案對「備份」提及甚少,根本不足以建立出有效的保護機制,就算硬體、管理制度和軟體面做得再好,只要發生重大災害(如失火)、人為疏失(如竊盜、擅闖惡意毀損),仍然會使個資受到嚴重損害,就好比面對勒索軟體最好的思維不是去想要用多強大的防護機制,而是規劃完善的備份計畫,所以關於這方面,我有幾點建議與疑問:

1.第四條加入「資料異地備份計畫」。

2.第四條最末段明定「地方主管機關」備查,但如果是隸屬中央的醫院,也還是給地方主管機關備查嗎?其原因為何?建議補充於立法說明。

3.第五條的...措施,落實個人資料檔案之安全維護及管理,防止...」建議改為「...措施,落實個人資料檔案之安全維護、管理及備份作業,防止...」,以明確達成下一句所述的毀損和滅失

4.若醫院採取境外備份,其他法規有無限制或規範,請多加留意

採納

一、本草案目的為落實個資檔案安全維護及管理,防止檔案被竊取、竄改、毀損、滅失或洩漏,電子資料檔案之備份確有管理之必要。

二、本部已於本辦法第13條第2項第3款,安全設備及防護措施增列「電子資料檔案之備份機制及管理程序」。

三、另,醫院不論是否為中央隸屬,其所在地衛生局皆為其第一線主管機關,併予敘明。

配置安全防護系統及加密機制應併行

第13

第十三條第一項第二款「配置安全防護系統或加密機制」,建議改成「配置安全防護系統及加密機制」,因為就算有安全防護系統,只要取得硬體本身且沒有加密機制,仍然可以取得明文,如果讓醫院二擇一,這樣的規範根本無法達到資安三要素的「機密性」。這就是為什麼現在WindowsMacOS都力推硬碟加密功能,因為只要把硬碟拔出來就能讀取內容,無論設定開機密碼什麼的都沒用了

不採納

一、本辦法第13條係規範醫院對於個人資料檔案安全及防護,所採取之基本措施,如醫院採取更高規格之防護措施,並無不可。

二、再查,其他主管機關所訂之辦法,皆為「配置安全防護系統或加密機制」。

三、綜上,爰不採納。

 

協助我們改善服務