最新消息

個人資料安全維護計畫

凱旋海運股份有限公司個人資料檔案安全維護計畫 
104.9.11  東監字第1043400484號書函准予備查 
 
   本公司為保護乘客個人資料安全,防止個人資料被竊取、竄改、毀損、滅失或洩漏,依「船舶運送業者個人資料檔案安全維護計畫及處理辦法」訂定本計畫。       
 
壹、 公司組織及規模 
一、 公司名稱:凱旋海運股份有限公司 
二、 負責人:王益薪 
三、 資本額:新臺幣貳仟萬元整 
四、 公司編號:24264017 
五、 公司類別:船舶運送業 
六、 公司地址:臺東市松江一段58巷33號 
七、 員工人數: 計11人(職員3人、船員8人)   
 
貳、個人資料檔案之安全維護管理措施 
一、管理人員及資源 
(一)管理人員: 
  1、配置人數:1人。 
  2、職責:負責規劃、訂定、修正與執行計畫或業務終止後個人資料處理方法等相關事項,並向負責人提出
報告。  
(二)預算:每一年新台幣貳拾陸萬元。 
(三)個人資料保護管理政策:遵循個人資料保護法關於蒐集、處理及利用個人資料之規定,並確實維護與管理所保有個人資料檔案安全,以防止個人資料被竊取、竄改、毁損、滅失或洩漏。 
 
二、個人資料之範圍 
(一)特定目的:為確保航行安全及提升個人化服務品質,本公司資料蒐集目的在於客票之開立、投保傷害保險及有關各項船務資訊服務運用。 
(二)個人資料:本計畫所稱自然人之個人資料,除係指乘客姓名、出生年月日、國民身分證統一編號、護照號碼、聯絡方式、信用卡號外及其他得以直接或間接方式識別該個人之資料。 
三、風險評估及管理機制 
(一)風險評估 
  1、經由本公司電腦下載或外部網路入侵而外洩。 
  2、經由接觸書面契約書類而外洩。 
  3、員工及第三人竊取、毁損或洩漏。 
  4、本公司與其他船舶運送業間互為傳輸時外洩。 
(二)管理機制 
  1、藉由使用者代碼、識別密碼設定及文件妥適保管。 
  2、定期進行網路資訊安全維護及控管。 
  3、電磁資料視實際需要以加密方式傳輸。 
  4、加強對員工管制及設備之強化管理。 
 
四、個人資料蒐集、處理及利用管理措施 
(一)直接向當事人蒐集個人資料時,應明確告知以下事項: 
  1、 公司名稱。 
  2、 蒐集目的。 
  3、 個人資料之類別。 
  4、 個人資料利用之期間、地區、對象及方式。 
  5、 當事人得請求閱覽、製給複製本、停止利用或刪除其個人資料。 
6、 當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 
(二)所蒐集非由當事人(或乘客)提供之個人資料,應於處理或利用前向當事人告知個人資料來源及前項應告知之事項。 
(三)本公司為辦理本計畫之特定目的,進行個人資料蒐集、處理及利用,於委託期限屆滿時主動刪除或銷毀。但因法令規定(船舶法第 11 條規定:「載有記名乘客者,應備妥乘客名冊,配合航政機關依職務需要之查驗或使用。」)、執行業務所必須或經書面同意者,不在此限。 
(四)本公司利用個人資料進行行銷時,如當事人(或乘客)表示拒絕行銷後,立即停止利用其個人資料行銷。 
(五)乘客表示拒絕行銷或請求閱覽、製給複製本、停止利用或刪除其個人資料時,連絡凱旋海運股份有限公司;電話:089-281047 號。本公司如拒絕當事人行使上述權利時,須附拒絕理由通知當事人。 
(六)本公司負責保管及處理個人資料檔案之員工,其職務有異動時,須將所保管儲存之媒體及有關資料檔案移交,以利管理。 
(七)本公司員工如因其工作職掌有關而須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之,其中識別密碼並應保密,不得洩漏或與他人共用。 
(八)本公司指定管理員工定期清查所保有之個人資料是否符合蒐集特定目的,若有非屬特定目的必要範圍之資料,或特定目的消失、處理所保管乘客個人資料檔案保存至少 3 個月,期限屆滿而無保存必要者,即予刪除、銷毀或其他適當處置。 
(九)本公司如有委託他人(或他公司)蒐集、處理或利用個人資料時,當對受託者為適當之監督並與其明確約定相關監督事項。 
(十)所蒐集之個人資料如需作特定目的外利用,必須先行檢視是否符合規定。 
(十一)本公司因故終止業務時,原保有之個人資料,即依規定不再使用,並採銷毁、移轉或其他妥適方式處理。 
五、事故之預防、通報及應變機制 
(一)預防: 
1、本公司員工如因其工作職掌而須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之。 
2、本公司對內或對外從事個人資料傳輸時,加強管控避免外洩。 
3、加強員工教育宣導,並嚴加管制。 
(二)通報及應變: 
1、發現個人資料遭竊取、竄改、毀損、滅失或洩漏即向交通部航港局及本公司負責人通報,並立即查明發生原因及責任歸屬,及依實際狀況採取必要措施。 
2、對於個人資料遭竊取之乘客,應以適當方式通知使其知悉及本公司個人資料外洩事實、已採取之處理措施、客服電話窗口等資訊。 
3、針對事故發生原因檢討改進措施。 
六、資料安全管理、員工管理及設備安全管理 
(一)資料安全管理: 
1、電腦存取個人資料之管控:  
(1)個人資料檔案儲存在電腦硬式磁碟機上者,在電腦上設置識別密碼、保護程式密碼及相關安全措施。 
(2)本公司員工如因其工作職掌須輸出、輸入個人資料時,須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之,其中識別密碼並應保密,不得洩漏或與他人共用。 
(3)個人資料檔案使用完畢應即退出,不得任其停留於電腦終端機上。 
(4)定期進行電腦系統防毒、掃毒之必要措施。 
(5)重要個人資料(如護照號碼、國民身分證統一編號),非經陳報本公司主管核可,未取得密碼者,不得存取。 
2、紙本資料之保管: 
(1)對於各類委託書、契約書件(含個人資料表)存放於公文櫃內並上鎖,員工非經公司負責人或營業處所主管同意不得任意複製或影印。 
(2)對於記載個人資料之紙本丟棄時,先以碎紙設備進行處理。 
 
(二)員工管理: 
1、本公司依業務需求,得適度設定所屬員工不同之權限,以控管其個人資料之情形。 
2、本公司員工每 6 個月變更識別密碼 1 次,並於變更識別密碼後始可繼續使用電腦。 
3、本公司員工應妥善保管個人資料之儲存媒介物,執行業務時依個人資料保護法規定蒐集、處理及利用個人資料。 
4、本公司與員工所簽訂之相關勞務契約或承攬契約,均列入保密條款及相關之違約罰則,以確保其遵守對於個人資料內容之保密義務(含契約終止後)。 
(三)設備安全管理: 
1、建置個人資料之有關電腦設備,資料保有單位應定期保養維護,於保養維護或更新設備時,並應注意資料之備份及相關安全措施。 
2、建置個人資料之個人電腦,不得直接作為公眾查詢之前端工具。 
3、本公司指派專人管理儲存個人資料之相關電磁紀錄物或相關媒體資料,非經主管同意並作成紀錄不得攜帶外出或拷貝複製。 
4、本公司之乘客個人資料檔案每3個月定期備份。 
5、重要個人資料備份應異地存放,並建置防止個人資料遭竊取、竄改、損毀、滅失或洩漏等事故之機制。 
6、電腦、自動化機器或其他存放媒介物,需報廢汰換或轉作其他用途時,本公司負責人或營業處所主管應檢視該設備所儲存之個人資料是否確實刪除。 
七、資料安全稽核機制 
(一)本公司每 1 年定期辦理個人資料檔案安全維護,查察本公司管理人員是否落實本計畫規範事項,針對查核結果不符合事項及潛在不符合之風險,規劃改善措施,並確保相關措施之執行。執行改善與預防措施時,並依下項事項辦理: 
1、確認不符合事項之內容及發生原因。 
2、提出改善及預防措施方案。 
3、紀錄查察情形及結果。 
(二)前項查察情形及結果由公司負責人確認簽名。 
八、使用記錄、軌跡資料及證據保存 本公司建置個人資料之電腦,其個人資料使用查詢紀錄,每年需將該紀錄檔備份並設定密碼,另亦將儲存該紀錄之儲存
媒介物保存於適當處所以供備查。 
九、認知宣導及教育訓練 
(一)本公司每年派遣員工參與相關單位辦理進行個人資料保護法基礎教育宣導及數位學習教育訓練,使員工知悉應遵守之規定,並留紀錄備查。 
(二)對於新進員工,由主管人員給予特別給予指導,務使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施。 
十、個人資料安全維護之整體持續改善 
(一)本公司隨時依據計畫執行狀況,注意相關技術發展及法令修正等事項,檢討本計畫是否合宜,並予必要之修正。 
(二)針對個資安全稽核結果,有不符合法令之虞者,規劃改善與預防措施。 
十一、業務終止後之個人資料處理方法 
本公司結束營業後,所保有之個人資料不得繼續使用,並依實際情形採下列方式處理,並留存相關紀錄至少5年: 
書面個人資料送碎紙機絞碎。 
儲存於電腦磁碟、磁帶、光碟片、微縮片、積體電路晶片等媒介物之個人資料已格式化刪除資料或以物理方式破壞其功能,如折斷光碟片,擊毀硬碟等。