法規名稱: 西藥批發零售業個人資料檔案安全維護計畫實施辦法
時間: 中華民國111年1月21日
立法沿革: 中華民國111年1月21日衛生福利部衛授食字第1101460407號令修正發布第 3條、第14條至第16條、第21條及第14條附表;增訂第10條之1、第16條之 1條文,除第16條之1自發布後三個月施行外,自發布日施行
法規體系: / 行政 / 衛生 / 藥政

立法總說明

衛生福利部於一百零九年十一月十二日訂定西藥批發零售業個人資料檔案
安全維護計畫實施辦法,為配合國家整體政策,明確個資國際傳輸之管理
規範、個資外洩事故通報機制,並針對從事電子商務活動者應建立資訊安
全措施,修正第十條之一、第十四條及新增第十六條之一規定,且為使西
藥批發零售業有緩衝期間因應電子商務活動之管理措施,於第二十一條修
正有關施行日期之規定。
除配合國家政策指定修正之事項外,一併修正第十五條有關電子資料之銷
毀程序,及第十六條有關所屬人員離職時,持有之他人個人資料辦理交接
事項,修正「西藥批發零售業個人資料檔案安全維護計畫實施辦法」部分
條文,其修正要點如下:
一、修正西藥批發零售業資本額範圍之規定。(修正條文第三條)
二、增訂西藥批發零售業將蒐集之個資為國際傳輸前,應告知當事人擬傳
    輸之國家或區域。(修正條文第十條之一)
三、明確非公務機關個人資料外洩事故通報時點及紀錄格式,並增訂發生
    個人資料侵害事故,主管機關得依法進行後續處置。(修正條文第十
    四條)
四、增修安全維護計畫內之設備安全管理措施事項,新增電子資料之銷毀
    程序。(修正條文第十五條)
五、修正安全維護計畫內之人員管理措施事項,所屬人員離職後,將執行
    業務所持有之他人個人資料辦理交接。(修正條文第十六條)
六、增訂西藥批發零售業於提供電子商務服務時,應採取之安全措施,並
    自發布後三個月施行。(修正條文第十六條之一)
七、修正有關施行日期之規定。(修正條文第二十一條)

法規異動

修正

西藥批發零售業者將當事人個人資料為國際傳輸前,應檢視是否受中央主
管機關限制,並告知當事人擬傳輸之國家或區域。
〔立法理由〕
一、本條新增。
二、依據行政院一百十年八月六日「研商非公務機關個人資料國際傳輸之
    限制會議」第二次會議決議,增訂個人資料國際傳輸之管理規範。

西藥批發零售業提供電子商務服務系統,應採取下列資訊安全措施:
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、個人資料檔案及資料庫之存取控制與保護監控措施。
五、外部網路入侵之防範對策。
六、非法或異常使用系統之監控及因應機制。
前項所稱電子商務,指透過網際網路進行商品或服務之廣告、行銷、供應
、訂購、遞送或其他商業交易活動。
第一項第五款對策及第六款機制,應定期演練及檢討改善。
前三項規定,自本辦法中華民國一百十一年一月二十一日修正發布後三個
月施行。
〔立法理由〕
一、本條新增。
二、依行政院一百十年二月三日「行政機關落實個人資料保護執行聯繫會
    議」第一次會議決議,為強化資安標準規範,於第一項各款明定西藥
    批發零售業於提供電子商務服務時,應採行之資訊安全措施,以落實
    民眾個人資料安全之保障。
三、考量西藥批發零售業強化資料安全管理措施,須有一定期間配合調整
    ,爰於第四項明定自發布日後三個月施行規定。
本辦法用詞,定義如下:
一、西藥批發零售業者:指依藥事法第二十七條第一項規定核准登記,且
    資本額新臺幣三千萬元以上,並有招募會員或可取得交易對象個人資
    料之業者。
二、專責人員:指由西藥批發零售業者指定,負責個人資料檔案安全維護
    計畫(以下簡稱安全維護計畫)訂定及執行人員。
三、所屬人員:指西藥批發零售業者,執行業務過程中接觸個人資料之人
    員。
四、查核人員:指由西藥批發零售業者指定,負責稽核安全維護計畫執行
    情形及成效之人員。
前項第二款專責人員與第四款查核人員,不得為同一人。
〔立法理由〕
明確資本額之限制,爰修正第一項第一款之文字。

西藥批發零售業者,訂定第四條第四款事故之預防、通報及應變機制,應
包括下列事項:
一、採取適當措施,控制事故對當事人造成之損害,並於發現事故時起七
    十二小時內,通報直轄市、縣(市)主管機關及通知中央主管機關。
二、查明事故發生原因及損害狀況,並通知當事人或其法定代理人。
三、檢討缺失,並訂定預防及改進措施,避免事故再度發生。
西藥批發零售業者,於發生個人資料被竊取、洩漏、竄改或其他侵害事故
時,應依前項事故之預防、通報及應變機制迅速處理,保護當事人之權益
。
西藥批發零售業者發生前項事故者,主管機關得依本法第二十二條第一項
規定進入檢查、命相關人員為必要之說明、配合措施或提供相關證明資料
,並視檢查結果為後續處置。
第一項第一款通報紀錄格式如附表。
〔立法理由〕
一、增訂第一項第一款非公務機關個人資料外洩事故通報時點,酌修第二
    款及第三款文字。
二、增訂第三項西藥批發零售業者發生個人資料侵害事故,主管機關得依
    法進行後續處置。
三、現行條文第三項移列為第四項,並修正明定通報紀錄格式。

西藥批發零售業者,訂定第四條第五款設備安全管理措施,應包括下列事
項:
一、紙本資料檔案之安全保護設施及管理程序。
二、電子資料檔案存放之電腦或自動化機器相關設備,配置安全防護系統
    或加密機制。
三、紙本及電子資料之銷毀程序;電腦、自動化機器或其他儲存媒介物需
    報廢汰換或轉作其他用途時,應採取適當防範措施,避免洩漏個人資
    料。
〔立法理由〕
修正第三款增訂「電子」資料之銷毀程序。

西藥批發零售業者,訂定第四條第三款資料安全管理及人員管理之措施,
應包括下列事項:
一、依據業務作業需要,建立管理機制,設定所屬人員不同之權限,以控
    管其接觸個人資料之情形,並定期確認權限內容之適當性及必要性。
二、檢視各相關業務之性質,規範個人資料蒐集、處理、利用及其他相關
    流程之負責人員。
三、要求所屬人員妥善保管個人資料之儲存媒介物,並約定保管及保密義
    務。
四、取消所屬人員離職時原在職之識別碼,並要求將執行業務所持有之他
    人個人資料辦理交接,不得攜離使用。
〔立法理由〕
修正第四款所屬人員離職後將執行業務所持有之他人個人資料辦理交接。

本辦法除另定施行日期者外,自發布日施行。
〔立法理由〕
配合第十六條之一第四項另定施行日期,爰修正本條規定。