主旨:重申教育部「學校使用資通系統或服務蒐集及使用個人資料注意事項」、本署「國立高級中等以下學校資安情傳遞及應變處理作業流程」,請查照。
說明:
一、依教育部113年2月21日臺教資通字第1130015530A號函辦理。
二、因近期本署所轄學校於網站公告時,未進行個資識別化動作即進行資料公告,造成個資外洩事件。請轉知學校人員在處理個資相關業務時,務必遵守個人資料保護法相關規定,並參酌教育部「學校使用資通系統或服務蒐集及使用個人資料注意事項」、Google表單蒐集個人資料使用原則(https://sites.google.com/email.nchu.edu.tw/g-form)及建立檢查機制,請學校落實檢討網頁公告上架流程及審查機制,務必確保無個資外洩疑慮。
三、另依「資通安全事件通報及應變辦法」,知悉資通安全事件後,學校應於一小時內進行資通安全事件之通報;另資通安全事件有一般公務機密、敏感資訊(個人資料等)遭輕微洩漏或竄改,為第三級資通安全事件;檢附本署資安事件通報流程說明圖、「國立高級中等以下學校資安情傳遞及應變處理作業流程」。
注意事項
一、教育部為保護教職員、學生、家長之權益,特訂定學校使用資通系
統或服務蒐集及使用個人資料注意事項(以下簡稱本注意事項)。
二、各級學校為行政目的使用資通系統或服務蒐集教職員、學生、家長
之個人資料者,應遵循個人資料保護法相關規定並參酌本注意事項
辦理。但各直轄市、縣(市)政府另有規定者,其所轄學校從其規
定。
三、學校為行政目的使用資通系統或雲端資通服務(如Google 表單、
Microsoft Forms 等問卷調查服務)涉及蒐集個人資料者,應注意
下列事項:
(一)資料蒐集最小化:僅蒐集適當、相關且限於處理目的所必要
之個人資料,處理及利用時,不得逾越特定目的之必要範
圍,並應與蒐集之目的具有正當合理之關聯。
(二)存取控制:應注意檔案存取權限設定,應採最小權限原則,
僅允許使用者依目的,指派任務所需之最小授權存取。
(三)使用雲端資通服務者,應詳閱設定內容,不宜使用者共同編
輯個人資料檔案清冊,並應注意避免設定允許顯示其他使用
者作答內容(如Google 表單不應勾選「顯示摘要圖表和其他
作答內容」),避免使用者能瀏覽其他使用者資料,造成個人
資料外洩。公佈前應確實做好相關設定檢查,並實際操作測
試,確認無誤後再行發布。
(四)傳輸之機密性:網路傳輸應採用網站安全傳輸通訊協定
(HTTPS)加密傳輸,並使用TLS 1.2 以上版本傳輸。
(五)資料儲存安全:如涉及蒐集個人資料保護法第6 條之個人資
料或其他敏感個人資料,應以加密方式儲存。
(六)應訂定個人資料保存期限,並於期限或業務終止後將蒐集之
個人資料予以刪除或銷毀,避免個人資料外洩。
四、各校或其主管機關得依本注意事項,訂定各校相關作業流程規定。