Type ：個人資料保護法Section ： T 06 安全維護措施Key Notes ：

• 為了避免個人資料被竊取、竄改、毀損或滅失，機關應採取一定的安全維護措施。• 在機關委託他機關蒐集、處理、利用個人資料時，應監督受委託機關是否已採取一定之安全維護措施。• 更重要的是，對於非公務機關而言，在資料外洩時，機關應負推定過失責任，必須提出反證，始能說服法院其已履行相當注意義務，仍無法避免資料外洩的情況。此時，非公務機關是否已採取安全維護措施，以及實際履行的狀態，就是非常重要的反證，應予注意。請參考 Case 45 。

Reporter: 池泰毅律師（ terry.t.y.chih@chihandwu.com ）

T 06 安全維護措施

T 06 安全維護措施

Type ：個人資料保護法（ T 06 ）Case 45 ：台北地院 104 年度北小字第 376 號民事判決Brief ：法院認為：被告為維護系爭網站個人資料之安全，業依個人資料保護法第 27 條第 1 項規定採取各項安全措施，包含訂定資訊作業安全管理辦法、於資料保存系統中設置加密措施、定期審查程式碼及防火牆等防護設備之安全性、實施員工資訊安全教育訓練、禁止員工自行安裝軟體於被告公司所配發之相關電腦設備等。被告並設有「個人資料保護處理小組」及「資訊安全事故處理小組」，負責個資保護事項之檢討及監督 。此外，復委請經 PCIDSS 官方網站公布核可之 Trustwave 公司每季以專業程式對系爭網站進行弱點掃瞄，皆獲合格評鑑等節，有 PCIDSS 官方網站公布核可之弱點掃瞄廠商名單、系爭網站於 101 年 5 月 16 日迄至 103 年 9 月 23 日間每季弱點掃瞄合格評鑑、 101 年 12 月 7 日至 103 年 9 月 23 日之弱點掃瞄報告在卷足憑，足徵被告為維護系爭網站個人資料之安全，已於平日踐行各項資訊安全管理措施、實施員工資訊安全教育，並定期請第三人自外部檢視系爭網站網路及應用程式之安全性。

Reporter ：池泰毅律師