衛生福利部公告：預告「醫院個人資料檔案安全維護計畫實施辦法」草案-眾開講-公共政策網路參與平臺

衛生福利部公告：預告「醫院個人資料檔案安全維護計畫實施辦法」草案

MINISTRY OF HEALTH AND WELFARE Notice is hereby given, to commence a period of public comments for drafting "Regulations Governing the Hospital's Plan of Security Maintenance for Personal Information Files"

發布於 2020-02-12 截止於 2020-04-13

討論(尚餘0天)

衛生福利部公告	中華民國109年2月7日衛部醫字第1091660430號
主　　旨：預告訂定「醫院個人資料檔案安全維護計畫實施辦法」草案。依　　據：行政程序法第一百五十四條第一項。公告事項：一、訂定機關：衛生福利部。二、訂定依據：個人資料保護法第二十七條第三項。三、「醫院個人資料檔案安全維護計畫實施辦法」草案如附件。本草案另刊載於本部網站（網址：http://www.mohw.gov.tw）「法令規章」之衛生福利法規檢索系統網頁及全國法規資料庫網站（網址：http://law.moj.gov.tw/）法規草案項下網頁。四、對於本公告內容有任何意見或修正建議者，請於本公告刊登公報次日起60日內陳述意見或洽詢： (一) 承辦單位：衛生福利部醫事司 (二) 地址：臺北市南港區忠孝東路6段488號 (三) 電話：(02)85906666分機7383 (四) 傳真：(02)85907087 (五) 電子郵件：mdyj318@mohw.gov.tw 部　　長　陳時中醫院個人資料檔案安全維護計畫實施辦法草案總說明及逐條說明（請參見PDF）

衛生福利部公告

中華民國109年2月7日
衛部醫字第1091660430號

主　　旨：預告訂定「醫院個人資料檔案安全維護計畫實施辦法」草案。

依　　據：行政程序法第一百五十四條第一項。

公告事項：

一、訂定機關：衛生福利部。

二、訂定依據：個人資料保護法第二十七條第三項。

三、「醫院個人資料檔案安全維護計畫實施辦法」草案如附件。本草案另刊載於本部網站（網址：http://www.mohw.gov.tw）「法令規章」之衛生福利法規檢索系統網頁及全國法規資料庫網站（網址：http://law.moj.gov.tw/）法規草案項下網頁。

四、對於本公告內容有任何意見或修正建議者，請於本公告刊登公報次日起60日內陳述意見或洽詢：

(一) 承辦單位：衛生福利部醫事司

(二) 地址：臺北市南港區忠孝東路6段488號

(三) 電話：(02)85906666分機7383

(四) 傳真：(02)85907087

(五) 電子郵件：mdyj318@mohw.gov.tw

部　　長　陳時中

醫院個人資料檔案安全維護計畫實施辦法草案總說明 及逐條說明（請參見PDF）

Top

本則草案預告，衛生福利部已於109年7月10日公告，相關資訊與連結如下

衛生福利部中華民國109年7月10日衛部醫字第1091664060號

衛生福利部令：訂定「醫院個人資料檔案安全維護計畫實施辦法」

MINISTRY OF HEALTH AND WELFARE Order is hereby given, for the promulgation of "Regulations Governing the Hospital's Plan of Security Maintenance for Personal Information Files"

機關綜整回應

衛生福利部 2020-07-07

綜整回應:

本草案於109年2月12日至4月13日預告期間，感謝各界對本草案提供之意見，本部均已瀏覽並納入考量，我們將所有留言分類並彙總回應如下，後續將再審慎參考預告期間之各方意見予以修正後，辦理發布作業，建請可隨時留意本部之公告事項。

綠燈 - 採納/ 紅燈 - 不採納 / 黃燈 - 部分採納或尚須研議

意見主軸	對應條文	留言內容	參採情形	回復說明
個資異地備份計畫	第4條第5條	這部草案對「備份」提及甚少，根本不足以建立出有效的保護機制，就算硬體、管理制度和軟體面做得再好，只要發生重大災害（如失火）、人為疏失（如竊盜、擅闖惡意毀損），仍然會使個資受到嚴重損害，就好比面對勒索軟體最好的思維不是去想要用多強大的防護機制，而是規劃完善的備份計畫，所以關於這方面，我有幾點建議與疑問： 1.第四條加入「資料異地備份計畫」。 2.第四條最末段明定「地方主管機關」備查，但如果是隸屬中央的醫院，也還是給地方主管機關備查嗎？其原因為何？建議補充於立法說明。 3.第五條的「...措施，落實個人資料檔案之安全維護及管理，防止...」建議改為「...措施，落實個人資料檔案之安全維護、管理及備份作業，防止...」，以明確達成下一句所述的毀損和滅失 4.若醫院採取境外備份，其他法規有無限制或規範，請多加留意	採納	一、本草案目的為落實個資檔案安全維護及管理，防止檔案被竊取、竄改、毀損、滅失或洩漏，電子資料檔案之備份確有管理之必要。二、本部已於本辦法第13條第2項第3款，安全設備及防護措施增列「電子資料檔案之備份機制及管理程序」。三、另，醫院不論是否為中央隸屬，其所在地衛生局皆為其第一線主管機關，併予敘明。
配置安全防護系統及加密機制應併行	第13條	第十三條第一項第二款「配置安全防護系統或加密機制」，建議改成「配置安全防護系統及加密機制」，因為就算有安全防護系統，只要取得硬體本身且沒有加密機制，仍然可以取得明文，如果讓醫院二擇一，這樣的規範根本無法達到資安三要素的「機密性」。這就是為什麼現在Windows和MacOS都力推硬碟加密功能，因為只要把硬碟拔出來就能讀取內容，無論設定開機密碼什麼的都沒用了。	不採納	一、本辦法第13條係規範醫院對於個人資料檔案安全及防護，所採取之基本措施，如醫院採取更高規格之防護措施，並無不可。二、再查，其他主管機關所訂之辦法，皆為「配置安全防護系統或加密機制」。三、綜上，爰不採納。

意見主軸

對應條文

留言內容

參採情形

回復說明

個資異地備份計畫

第4條

第5條

這部草案對「備份」提及甚少，根本不足以建立出有效的保護機制，就算硬體、管理制度和軟體面做得再好，只要發生重大災害（如失火）、人為疏失（如竊盜、擅闖惡意毀損），仍然會使個資受到嚴重損害，就好比面對勒索軟體最好的思維不是去想要用多強大的防護機制，而是規劃完善的備份計畫，所以關於這方面，我有幾點建議與疑問：

1.第四條加入「資料異地備份計畫」。

2.第四條最末段明定「地方主管機關」備查，但如果是隸屬中央的醫院，也還是給地方主管機關備查嗎？其原因為何？建議補充於立法說明。

3.第五條的「...措施，落實個人資料檔案之安全維護及管理，防止...」建議改為「...措施，落實個人資料檔案之安全維護、管理及備份作業，防止...」，以明確達成下一句所述的毀損和滅失

4.若醫院採取境外備份，其他法規有無限制或規範，請多加留意

採納

一、本草案目的為落實個資檔案安全維護及管理，防止檔案被竊取、竄改、毀損、滅失或洩漏，電子資料檔案之備份確有管理之必要。

二、本部已於本辦法第13條第2項第3款，安全設備及防護措施增列「電子資料檔案之備份機制及管理程序」。

三、另，醫院不論是否為中央隸屬，其所在地衛生局皆為其第一線主管機關，併予敘明。

配置安全防護系統及加密機制應併行

第13條

第十三條第一項第二款「配置安全防護系統或加密機制」，建議改成「配置安全防護系統及加密機制」，因為就算有安全防護系統，只要取得硬體本身且沒有加密機制，仍然可以取得明文，如果讓醫院二擇一，這樣的規範根本無法達到資安三要素的「機密性」。這就是為什麼現在Windows和MacOS都力推硬碟加密功能，因為只要把硬碟拔出來就能讀取內容，無論設定開機密碼什麼的都沒用了。

不採納

一、本辦法第13條係規範醫院對於個人資料檔案安全及防護，所採取之基本措施，如醫院採取更高規格之防護措施，並無不可。

二、再查，其他主管機關所訂之辦法，皆為「配置安全防護系統或加密機制」。

三、綜上，爰不採納。