人力仲介業個人資料檔案安全維護計畫及處理辦法第 四 章 個人資料管理措施

人力仲介業就人員管理，應採取下列措施： 一、確認蒐集、處理及利用個人資料之各相關業務流程之負責人員。 二、依據作業之需要，建立管理機制，設定所屬人員不同權限，並定期確認權限內容之適當及必要性。 三、與所屬人員約定保密義務。 四、所屬人員離職時取消其識別碼，並收繳其通行證（卡）及相關證件。 五、所屬人員持有個人資料者，於其離職時，應要求其返還個人資料之載體，並銷毀或刪除因執行業務儲存而持有之個人資料。

人力仲介業蒐集、處理或利用個人資料，就資料安全管理，應採取下列措施： 一、訂定作業注意事項。 二、運用電腦或自動化機器相關設備，訂定使用可攜式設備或儲存媒體之規範。 三、保有之個人資料內容，有加密或遮蔽之必要時，採取適當之加密或遮蔽機制。 四、傳輸個人資料時，因應不同之傳輸方式，有加密必要時，採取適當加密機制，並確認資料收受者之正確性。 五、依據保有資料之重要性，評估有備份必要時，予以備份，並比照原件加密。儲存備份資料之媒介物，以適當方式保管，且定期進行備份資料之還原測試，以確保有效性。 六、儲存個人資料之媒介物於報廢或轉作其他用途時，以物理或其他方式確實破壞或刪除媒介物中所儲存之資料。 七、妥善保存管理機制及加密機制中所運用之密碼。

人力仲介業就設備安全管理，應採取下列措施： 一、依據作業內容不同，實施必要之進出管制方式。 二、妥善保管個人資料之儲存媒介物。 三、針對不同作業環境，加強天然災害及其他意外災害之防護，並建置必要之防災設備。

人力仲介業就技術管理，應採取下列措施： 一、於電腦、自動化處理設備或系統上設定認證機制，對有存取個人資料權限之人員進行識別及控管。 二、認證機制使用之帳號及密碼，具備一定之複雜度，並定期更換密碼。 三、於電腦、自動化處理設備或系統上設定警示與相關反應機制，以對不正常之存取進行適當之反應及處理。 四、個人資料存取權限之數量及範圍，依作業必要予以設定，且不得共用存取權限。 五、採用防火牆或入侵偵測等設備，避免儲存個人資料之系統遭受無權限之存取。 六、使用能存取個人資料之應用程式時，確認使用者具備使用權限。 七、定期測試權限認證機制之有效性。 八、定期檢視個人資料之存取權限設定。 九、於處理個人資料之電腦系統中安裝防毒、防駭軟體，並定期更新病毒碼。 十、對於電腦作業系統及相關應用程式之漏洞，定期安裝修補程式。 十一、對於具備存取權限之電腦或自動化處理設備，不得安裝檔案分享軟體。 十二、測試處理個人資料之資訊系統時，不使用真實個人資料，有使用真實個人資料之情形時，明確規定使用程序。 十三、處理個人資料之資訊系統有變更時，確認其安全性並未降低。 十四、定期檢查處理個人資料資訊系統之使用狀況，及個人資料存取情形。