資料安全稽核機制
機關所持有之個人資料檔案之儲存媒體區分為『非數位式媒體』以及『數位式媒體』。但不論是哪一種,機關暨持有個人資料檔案,就必須盡到保護之義務。機關所採取之保護措施是否有被落實執行,亦或只是虛應故事,將牽涉到一旦發生個資事件時,機關以及相關管理人員是否能免責。故機關為能表現對所持有之個人資料檔案有高度之責任,必須對機關所採取之個人資料保護措施以及個人資料檔案之安全進行必要之稽核行動,以確保所有之保護機制以及個人資料檔案皆在一定之安全保護機制下被使用。
機關個人資料安全稽核機制說明:
1 機關應設置一運作具獨立性或聘請外部公正單位作為機關內部稽核業務之權責單位。
2 該稽核單位應擬定對機關內部以及委外個人資料業務之稽核計畫。
3 稽核計畫應依據『個人資料保護法』、『個人資料保護法施行細則』、『個人資料保護法之特定目的及個人資料之類別』以及機關內部之個人資料管理與保護政策與計畫制定稽核內容。
4 稽核單位應定期對前述對象進行個人資料管理與保護業務之稽核,並留下完整之稽核記錄,同時,必須定期追蹤所有稽核之缺失,確保權責單位已有制定改善計畫以及落實執行。
5 稽核單位稽核之內容必須包括下列兩項:
5.1 所有個人資料管理與保護作業是否依『個人資料保護法』以及機關所制定之管理機制落實執行。
5.2 執行個人資料管理與保護業務過程所留存之紀錄、軌跡資料及證據是否符合法律之規範並具備法律鑑識之效力。