↑資策會科法所專案經理王德瀛分享辦法要求的「適當安全維護措施」，核心其實就是「風險控管流程」。（圖／吳娜恩）

文／吳娜恩

台灣個資事故頻生，今年5月31日《個人資料保護法》修正案正式生效，加重未採安全措施處罰，取消舊法先限改再開罰，改直接開罰2到20萬元再限改，未改正再重罰15到1500萬元，且機構代表人若無法證明盡防止義務，受同一額度處罰。個資法日益嚴峻，私立長期照顧服務機構該如何因應？資策會從法規面到實務操作，引領私立長照機構提高消費者信賴度。

經濟部技術處指導、資策會科技法律研究所主辦的「112年度健康大數據法制座談會」，9月7日上午在「Cares Expo Taipei 台北國際照顧博覽會」舉行。資策會科法所組長林冠宇致詞表示，照護產業所蒐集的個資既多且雜，如何評估及擬定安全維護措施，實非易事，盼透過座談會交流，提升照顧產業個資管理能力。

資策會科技法律研究所7日主辦的「112年度健康大數據法制座談會」，吸引數十位長照產業專業人士與會。（圖片來源／吳娜恩）

個資安全維護辦法已上路！稽查在即

「長照業個資運用合法趨勢」主講人、資策會科法所專案經理王德瀛在會中指出，因應個資法修正，衛福部也在去年完成發布「私立長期照顧服務機構個人資料檔案安全維護計畫實施辦法」（下稱「辦法」），針對200床以上機構，要求業者制定安全維護計畫，給1年時間、也就是今年6月22日施行，安排檢查看有無落實。

王德瀛當場問與會者：「在場有處理過個資業務嗎？」台下近8成參與者默默搖頭。他直言，法條提及「適當安全維護措施」乍聽讓人無所適從，但核心其實就是「風險控管的流程PDCA」（PDCA，指Plan、Do、Check、Act），先想要怎麼做後再執行、檢查做得好不好，重新調整作法，後續持續改善進步。

6項特種個資要當心

計劃個資管理前要懂分辨什麼是個資，王德瀛說明，「看這資料就知道是誰的就是個資」，包含名字、身分證號碼、病歷號碼等。「長照業個資合法實務做法」主講人、資策會科技法律研究所研究員李怡親也補充，個資法第6條明定，病歷、醫療、基因、性生活、健康檢查及犯罪前科等6項屬特種個資，原則上不得蒐集、處理與利用。

資策會科技法律研究所研究員李怡親提醒，病歷、醫療、基因、性生活、健康檢查及犯罪前科等6項屬特種個資，原則上不得蒐集、處理與利用。（圖片來源／吳娜恩）

而個資管理的歷程，始於最初「蒐集」就要明確告知目的與用途，「處理」指建檔、編輯、檢索或內部傳送等，「利用」指第二階段處理以外的用途，如行銷是最大的利用樣態，再到最後的「銷毀」，要明訂業務終止後的各資處理方法，辦法第14條規範，紀錄至少要留存5年。王德瀛提醒，「政府稽查時間很短，保存有做銷毀動作的證據很重要」。

個資專責／稽核人員不可兼任

王德瀛指出，按辦法第7條規範，要設有專責人員與查核人員，且兩者不可互相兼任。他提醒「專責」不是專職，可由機構現有法遵或資訊人員兼任，合適人選最好得具備個資法專業知識、長照產業知識及基礎資安知識，或可參加TPIPAS（台灣個人資料保護與管理制度），進行30到40小時培訓，更能從容勝任。

最後，王德瀛分享說：「Data is the new oil.資料是新時代的石油！」但前年CISCO（思科）調查發現，超過50%台灣民眾對醫院、學術機構，甚至政府單位等的個資保護沒有信心，2019及2020年資料顯示，隱私度投資平均回報率都在200%以上，個資隱私保護愈提升，就愈能贏得消費者信賴，增加產業競爭力。

「Cares EXPO Taipei 2024 第五屆台北國際照顧博覽會」2024年9月12日～9月14日南港展覽館1館再見，更多資訊請點此

喜歡這篇文章嗎？ 加入會員 即可收藏文章、產品及供應商