個人資料保護政策
為落實個人資料之保護與管理,本行訂有「個人資料管理政策」,適用對象除本行全體人員外,亦包括登錄於本行之保險業務員,及與本行有業務往來之外部單位與人員。
此外,於執行作業面向,訂有「個人資料檔案安全維護要點」、「個人資料當事人權利行使注意事項」、「個人資料蒐集、處理、利用及管理注意事項」、「執行歐盟一般資料保護法規注意事項」、「業務終止後個人資料處理注意事項」等,供各業務主管單位遵循。
國際標準認證
為強化本行個人資料保護管理,本行自104年起,每3年參加認證機構英國標準協會(下稱BSI) BS 10012個人資料管理制度之國際標準認證審查,並於審查通過證書有效期間內,每年皆接受BSI覆審,以維持證書有效性。
本行於110年已通過第3次認證審查,證書期間自110年3月12日起至113年3月11日止,並於112年2月15日通過覆審。
個人資料管理制度
本行基於整體策略與目標,建立個人資料管理組織與權責,規劃個人資料管理指標、風險評估與安全控管制度,並依據評估規劃結果,建立或修正應有之管理制度。
本行依下列規範執行監督與查核,並依據監督查核結果與建議,執行矯正與預防措施,改善並執行應有之管理制度,以持續維護個人資料管理制度之運作。
- 透過內部稽核制度,以監督與查核個人資料管理制度各項作業之落實程度。
- 對所委託蒐集、處理或利用個人資料之受託人為適當之監督,以確保受託者對個人資料已採取必要之安全措施,並符合「個人資料保護法」、其他個人資料保護法律及其法規命令。
個人資料侵害應變
本行針對個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故發生後之應變措施、應通報對象與方式、及矯正預防措施之研議機制訂有「個人資料侵害事件緊急應變管理注意事項」,並定期辦理個人資料侵害事件之緊急應變演練,協調各個應變單位,共同評估緊急應變計畫內容、程序及權責等是否具可行性及適切性,確保呈報流程之暢通,並建立同仁之應變觀念、知識與技能。
112年本行未發生客戶個資外洩事件。
教育訓練
本行每年對全體員工與登錄於本行之保險業務員,施以個人資料保護認知宣導及教育訓練,使其明瞭相關法令之要求、責任範圍與各種個人資料保護事項之機制、程序及措施。
有關本行112年教育訓練情形,已開設「個人資料保護法規教育訓練」、「資訊安全概要」、「資訊安全法令宣導」等課程,總時數共4小時。