跳到主要內容

臺灣博碩士論文加值系統

(44.200.194.255) 您好!臺灣時間:2024/07/18 13:12
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

: 
twitterline
研究生:張錦彩
研究生(外文):Chang , Chin-Tsai
論文名稱:醫院資訊安全防護機制探討個人資料保護之因應
論文名稱(外文):Security Mechanism vs Personal Information Protection for Hospital
指導教授:王本正王本正引用關係李成李成引用關係
指導教授(外文):Wang , Ben-JengLee, Cherng
口試委員:温玲玉
口試日期:2014-01-07
學位類別:碩士
校院名稱:東海大學
系所名稱:企業管理學系高階企業經營碩士在職專班
學門:商業及管理學門
學類:其他商業及管理學類
論文種類:學術論文
論文出版年:2014
畢業學年度:102
語文別:中文
論文頁數:104
中文關鍵詞:個人資料保護法資訊安全舉證責任隱私權
外文關鍵詞:Personal Data Protection Actinformation securitythe burden of proofprivacy
相關次數:
  • 被引用被引用:0
  • 點閱點閱:786
  • 評分評分:
  • 下載下載:21
  • 收藏至我的研究室書目清單書目收藏:2
我國新版「個人資料保護法」於2010年5月總統公布,自2012年10月施行。個資法保護的是中華民國全體國民的個人隱私權,遵循新法的適用主體包含自然人、法人或其他團體;保護的客體也不再侷限於電腦處理個人資料保護法(舊法)之經電腦處理之個人資料,任何可識別的資料,包含紙本,皆納入保護範圍;個人資料的使用必需經本人同意或符合其他法令規定或公共利益。此外,一旦洩漏個資,企業必須「舉證」說明無過失或無故意,並盡到「善良管理」責任,否則必須面臨刑法及民法的懲罰。因此,企業及其全體上下對其擁有的個人資料是否能做到符合「合理使用」的範圍、盡到「善良管理」的資料保護及具備事後「舉證責任」的能力,是將來企業或企業管理者是否需承擔個資法刑責的關鍵。
本研究希望利用深度訪談的方式,探討在舊個資法時期已納入施行範圍的公立醫院,以資訊主管們的專業觀點出發,在現有的資訊安全防護機制的基礎下,應如何運用資訊的技術及管理來協助組織因應新個資法的上述要求,這些資訊專家們所面對的難題及因應的策略,應足以讓本研究成為企業面對新個資法實施後的因應參考,並在資源有限的條件下找到優先可行的解決方案。
從質性研究的結果顯示,資訊主管們認為醫療面對新個資法最大的難題是預算及法令不足。因應策略是建置基本的資訊安全防護機制、員工個資法教育訓練、全面個資盤點、適法性分析、風險評鑑及改善作業流程,最後才是導入花費最高的資料外洩防護(DLP)的資訊設備端點防護。

Two years after the promulgation of the "Personal Information Protection Act (PIPA)", it finally came into force on October 1, 2012. PIPA is enacted to protect personal privacy and prevent harm on personality right. It applies to all companies, individuals and public organizations, including government agency, non-government agency, natural persons, juridical persons or groups. It was intended to replace and enhance the "Computer-processed Personal Data Protection Act" which covered the collection, processing and use of personal data. Under the PIPA, "personal data" means any information that is sufficient to directly or indirectly identify an individual. The collection or processing and use of personal information are only permitted if it is compliant with laws, has a written consent or it is for national security or to promote public interests. Penalties for breach can include criminal sanctions, administrative fines and civil action unless it can prove that the breach was neither deliberate nor caused by its negligence. Consequently, in planning personal information management policies, companies need to take into consideration all the statutory requirements to ensure that the collection, processing and use of personal information complies with the law. Companies should also think about whether the personal information collected can only be used within the specific purposes and, in the event where it is necessary to use the personal information collected outside of the specific purposes, how to make the proper determinations and what are the measures to be taken accordingly.
This study intends to use in-depth interviews to explore the professional perspectives of Chief Information Officer in public hospitals on the subject of PIPA. On the basis of existing information security protection mechanisms, how should they use the information technology and management to meet the requirements of PIPA? Their challenges and strategies could provide practical solutions for other private companies under limited resources.
From the qualitative research showed that medical information executives think the biggest problem for the implementation of the PIPA is inadequate budget and the vagueness of the enforcement rule. Their strategies is to build basic information security protection mechanism, staff educational training about PIPA, comprehensive review of personal data collected in the past, the legitimacy of personal data collection, legal risk assessment and improving the personal information collection process. Finally, establishing endpoint-based system for data leakage prevention (DLP) can detect data breach but it will spend lots of funds.

中文摘要 II
英文摘要 III
目  次 V
表  次 VII
圖  次 VIII
第一章 緒論 1
第一節 研究背景與動機 1
第二節 研究目的 3
第三節 研究範圍與對象 4
第四節 本研究的重要性 6
第二章 文獻探討 9
第一節 隱私權 9
第二節 個資法的沿革與探討 12
第三節 資訊安全防護機制對個資法防護的探討 25
第三章 研究方法與研究設計 31
第一節 訪談方法及取樣方法 31
第二節 探索問題的資訊來源 33
第三節 訪談對象選擇 34
第四節 專家訪談探討問題說明描述 39
第五節 研究流程設計 41
第四章 研究分析與結果 42
第一節 專家訪談意見歸納 42
第二節 專家訪談意見分析 48
第五章 結論與建議 53
第一節 研究結論 53
第二節 研究建議 54
第三節 研究限制與後續研究建議 56
參考文獻 57
中文部份 57
英文部份 60
網路資料 62
附  錄 64

表  次
表 1-1公務機關之法律責任 7
表 1-2非公務機關之法律責任 8
表 3-1綜合醫院、醫院、專科醫院設置標準表 35
表 3-2衛福部所屬醫院屬性及分級一覽表 37
表 3-3專家訪談衡量問項 40

圖  次
圖 2-1國際隱私保護原則與我國個資法的比較 14
圖 2-2我國新舊個資法在立法院立法過程相關會議 15
圖 2-3我國新舊個資法總統公布訊息 16
圖 2-4各產業因應個資法進度 23
圖 2-5企業因應個資法的困難與挑戰 24
圖 2-6國際資訊安全管理制度演進及我國採用狀況參照圖 26
圖 3-1衛福部所屬醫院 36
圖 3-2研究流程架構圖 41

中文部份
1.古永嘉、楊雪蘭編譯(2011),Donald R. C.and Pamela S. S.著,《企業研究方法》(Business Research Methonds,10),臺北:美商麥格羅•希格國際股份有限公司 台灣分公司,(2009)。
2.民法(民國18年05月23日)。
3.刑法(民國24年01月01日)。
4.朱瑞陽(2011),〈公務機關執行職務時應注意之資安議題-以個人資料保護法為中心〉,100年度資安稽核重點實務訓練,主辦單位:行政院主計處電子資料處理中心, 8月,頁46-47。
5.江明軒(2012),《人格權之保護》,中正大學法律研究所(碩)士論文,(未)出版。
6.行政院研究發展考核委員會(1985),《資訊立法之研究》。
7.吳芝儀、李鳳儒譯(1995),Patton,Michael Quinn著,《質的評鑑與研究》(qualitative evaluation and research methods),臺北:桂冠,(1990)。
8.吳玲玲(2007),《「政府機構資訊安全防護概況」調查報告》,行政院主計處電子處理資料中心, 05月。
9.李東宜(2010),《「政府機構資通安全執行概況調查」報告》,行政院主計處電子處理資料中心, 03月。
10.李美華、孔祥明、林嘉娟、王婷玉譯(1998),Earl Babbie著,《社會科學研究方法》(The Practice of Social Research),臺北:時英,(1998)。
11.李震山(2003),〈電腦處理個人資料保護法之回顧與前瞻〉,《中正法學集刊》第14期,頁25-51。
12.周韋杏(2011),《公務機關人事機構處理個人資料之研究-以2010年修正之個人資料保護法為中心》,東吳大學法律學系(碩)士論文,(未)出版。
13.周悅儀(1993),《美國保護隱私權法制之研究》,法務部法律事務司年度研究報告, 12月,頁5。
14.林茹玉(2011),〈個資安全防護實作建議〉,《中華民國資訊安全協會(CCISA) 》, vol.17 No.3。
15.法治斌(2000) ,《政府行政作為與隱私權保障之探討》(RDEC-RES-089-032),行政院研究發展考核委員會研究報告, 7月,頁5-6。
16.保險法(民國18年12月30日)。
17.范姜真媺(2009),〈他律與自律共構之個人資料保護法制--以日本有關民間法制為主〉,《東吳法律學報》,第21 卷第1 期,頁163-200。
18.個人資料保護法(民國99年5月26日)。
19.袁方編(2002):《社會研究方法》。臺北:五南。
20.畢恆達(1996),《詮釋學與質性研究》,臺北:巨流。
21.莊秋華(2012),〈病歷隱私安全推動-PDCA〉,病歷資訊保密、隱私保護及安全研討會,地點:台中市, 4月,頁4-2,台灣病歷管理學會。
22.通訊保障及監察法(民國88年07月14日)。
23.陳亦仲(2009),《監視影像資訊之取得與運用-以非為偵查目所架設之監視錄影系統為中心》。東吳大學法律學系(碩)士論文,(未)出版。
24.陳品妤(2009),《受僱人個人資料保護法制之比較研究-以電腦使用之監視系統為核心》,臺北大學法律學系(碩)士論文,(未)出版。
25.陳曉宜(2005),《報社記者抵抗資源之研究》。國立政治大學傳播學院(碩)士論文,(未)出版。
26.黃光玉、 劉念夏、陳清文譯(2004),Arthur A. Berger著,《媒介與傳播研究方法:質化與量話研究途徑》(Media and Communication Research Methods: Qualitative and Quantitative Approache),臺北:風雲論壇,(2000)。
27.黃荷婷(2012),〈個人資料保法及相關注意事項〉,行政院衛生署所屬醫院高階主管策略研討會議,地點:臺北市, 1月。
28.葉至誠(2000),《社會科學概論》,臺北:揚智。
29.葉奇鑫(2012),〈個資法不只是IT的事〉,《iThome電腦報專刊》,42期,頁69-71。
30.詹文凱(1998),《隱私權之研究》,台灣大學法研所(博)士論文,(未)出版。
31.電腦處理個人資料保護法(民國84年8月11日)。
32.廖緯民(2012),〈個人資料保護法新法及其對醫療機構之影響分析〉,病歷資訊保密、隱私保護及安全研討會,地點:台中市, 4月,頁1-10,台灣病歷管理學會。
33.趙碧華、朱美珍編譯(1995),Allen Rubin, Earl Babbie著,《研究方法-社會工作暨人文科學領域的運用》(Research Methods for Social Work),臺北:雙葉書廊,(1993)。
34.齊力、林本炫編(2003),《質性研究方法與資料分析》,嘉義大林:南華大學教育社會所。
35.劉佐國(2005),〈我國個人資料隱私權益之保護是由-論“電腦處理個人資料保護法”之立法與修法過程〉,《律師雜誌》,4月號/第307期,頁42-53。
36.劉彥辰(2010),《論醫療資訊隱私之保護規範》。世新大學法律學研究所(碩)士論文,(未)出版。
37.蔡佳婷(2002),《台灣醫療資訊安全之立法與實踐研究-由個資法的經驗到推動HIPAA之可行性》,國立陽明大學衛生資訊與決策研究所(碩)士論文,(未)出版。
38.鍾倫納(1993),《應用社會科學研究法》,臺北:臺灣商務。
39.簡佩珺(1997), 〈公務機關對個人資料之利用與傳遞-以電腦處理個人資料保護法為中心〉,《法務部司法官學院》,48 期,頁2292-2296。
40.醫療法(民國75年11月24日)。
41.醫療機構設置標準(民國76年09月16日)。
42.蘇三榮(1999),《網路時代通訊監察與個人資料保護之法制研究》,國立交通大學科技法律研究所(碩)士論文,(未)出版。

英文部份
1.Alan F. Westin (1968), “Privacy And Freedom.”25 Wash. & Lee L., Rev. 166。
2.Albrechtsen E. (2006), “A Qualitative Study of Users’ View on Information Security.” Computers and Security,25: pp. 445-451.
3.Bloustein Edward J. (1964),"Privacy as an Aspect of Human Dignity: An Answer to Dean Prosser.” 39 N.Y.U. L. ,Rev.962。
4.Chaudhry, B., Wang, J., Wu, S., Maglione, M., Mojica, W., Roth, E., Morton, S. C. and Shekelle, P. G.(2006), "Systematic review: impact of health information technology on quality, efficiency, and costs of medical care." Annals of Internal Medicine, vol. 144:pp. 742-752。
5.Craig S Wright(2005),”Implementing an Information Security Management System (ISMS) Training process.”BDO Chartered,Version 1.1:p10。
6.D.P. Lorence and A. Spink(2004),” Healthcare information systems outsourcing.” International Journal of Information Management, Vol.24:pp.131-145。
7.Daniel Mellado AND David G. Rosado(2012),”An Overview of Current Information Systems Security Challenges and Innovations.” J.UCS,vol. 18, no. 12:pp.1599-1605。
8.Davidson, E.J., and Chismar, W.G.(1999),”Planning and Managing Computerized Order Entry: A Case Study of IT-enabled organizational transformation.” Topics in Health Information Management,Vol. 19, No.4: pp. 47-61。
9.E. Ammenwerth, S. Graber, G. Herrmann, T. Burkle, and J. Konig(2003),” Evaluation of health information systems – problems and challenges.” International Journal of Medical Informatics,Vol.71:pp.125-135。
10.Edward Humphreys(2010),” Information Security Risk Management -Handbook for ISO/IEC 27001.” BSI,p1。
11.Eric Maiwald(2004), “Fundamentals of Network Security.”U.S.A.:McGraw-Hill Technology Education。
12.Gostin, Lawrence O., James G. Hodge, Jr.(2002),”National Health Information Privacy Regulations Under HIPAA: Personal Privacy and Common Goods, A Framework for Balancing Under the National Health Information Privacy Rule.” 86 MINN. L. REV. 1439。
13.Gostin, Lawrence O., James G. Hodge, Jr., and Mira S. Burghardt(2002), “Symposium: Balancing Communal Goods and Personal Privacy under a National Health Informational Privacy Rule.”,46 ST. LOUIS L.J. 5。
14.Halstuk, Martin E. (2003),”Shielding Private Lives From Prying Eyes: The Escalating Conflict Between Constitutional Privacy and the Accountability Principle of Democracy.” 1 CommLaw Conspectus 71。
15.Hiller, J.(2011),” Privacy and Security in the Implementation of Health Information Technology (Electronic Health Records): U.S. AND EU COMPARED.” Trustees of Boston University Boston University Journal of Science and Technology Law。
16.Kass, Nancy E., Marvin R. Natowicz, Sara Chandros Hull, Ruth R. Faden, Laura Plantinga, Lawrence O. Gostin, and Julia Slutsman (2003),”The Use of Medical Records in Research: What Do Patients Want?.” 31 J.L. MED. & ETHICS,429。
17.Ludwicka, D.A. and John Doucettea (2009), “Adopting electronic medical records in primary care: Lessons learned from health information systems implementation experience in seven countries.” International Journal of Medical Informatics ,Volume 78,Issue 1:pp.22-31。
18.Maryam Al-Awadi AND Karen Renaud(2009),”SUCCESS FACTORS IN INFORMATION SECURITY IMPLEMENTATION IN ORGANIZATIONS.” DRAFT:pp.4-5。
19.NIH,”Protecting Personal Health Information in Research:Understanding the HIPAA Privacy Rule .” NIH,Number 03-5388:p8。
20.P.L. Reichertz(2006), “Hospital information systems –Past, present, future.“ International Journal of Medical Informatics, Vol.75:pp.282-299。
21.Parker D.B.( 1997), “Information Security in a Nutshell,” Information Systems Security, Spring。
22.Perera, Gihan, Anne Holbrook, Lehana Thabane, Gary Foster, and Donald J. Willison (2011), “Views on health information sharing and privacy from primary care practices using electronic medical records.” International Journal of Medical Informatics ,Volume 80,Issue 2:pp..94-101。
23.Robert Richardson(2009),“2009 CSI Computer Crime and Security Survey Executive Summary."Computer SecurityJournal,December.
24.Ruth E.Gavison(1980),”Privacy and the Limits of Law Autho.” The Yale Law Journal, Vol. 89, No. 3 (Jan., 1980), pp. 421-471。
25.Tipton H. F. and Drause M. (2007), “Information Security Management Handbook.” USA: CRC Press, FL。
26.Tom Carlson (2001),”Information Security Management:Understanding ISO 17799.” Lucent Technologies Worldwide Services:pp. 4-6。
27.Warren and Brandeis(1890),” The Right to Privacy.” Harvard Law Review,Vol.4, 193。

網路資料
1.〈資訊安全管理制度(ISMS)簡介〉,《永達技術學院》,網址:online3.ytit.edu.tw/cc/Form/standard/I001.pdf,【2013/12/30】。
2.DTI(2005),”INFORMATION SECURITY:UNDERSTANDING BS7799”,《the Department of Trade and Industry》, Website:www.dti.gov.uk/bestpractice/assets/security/understanding-BS7799.pdf,【2013/12/31】。
3.i-Security,〈CNS17799國家標準之資訊安全管理作業要點〉,《教育部》,網址:https://isafe.moe.edu.tw/kids/dictionary/42,【2013/11/26】。
4.iThome(2012),〈iThome 2012年個資法大調查-因應現況篇〉,《iThome》, 2012/10/23,網址: www.ithome.com.tw/privacylaw/article/76902,【2013/10/09】。
5.Michael. (2012),〈關於保護健康和心理健康資訊的HIPAA隱私規則〉,《精神衛生辦公室》,網址:http://www.omh.ny.gov/omhweb/chinese/hipaa/phi_protection.html,【2013/12/31】。
6.Secward. (2012),〈個資法因應方案〉,《Secward》,網址:http://www.secward.com/solution_5.html,【2013/12/31】。
7.法治斌(2013),〈政府行政作為與隱私權保障之探討〉,《行政院研究發展考核委員會》,網址:www.rdec.gov.tw/public/PlanAttach/200605081112470407812.pdf,【2013/12/05】。
8.法務部(2013),〈個資盤點刻不容緩 掌握風險才能做好控管〉,《法務部》,網址:www.moj.gov.tw/ct.asp?xItem=264914&ctNode=21962,【2014/01/13】。
9.法務部全國法規資料庫網站:law.moj.gov.tw。
10.法務部網站,APEC隱私保護綱領,網址:http://www.moj.gov.tw/public/Attachment/7199515432.pdf,【2013/12/31】。
11.查士朝(2006),〈BS7799/ISO17799/ISO27001 資訊安全管理制度介紹與導入實務〉,《資誠企管》,網址: http://joung.im.ntu.edu.tw/teaching/EMBADIS/2006EMBA/Security20060322_Print.pdf,【2013/12/23】。
12.財團法人醫院評鑑暨醫療品質策進會網站:http://www.tjcha.org.tw/FrontStage/index.aspx?AspxAutoDetectCookieSupport=1。
13.黃彥棻 (2012),〈個資法10月1日上路,僅告知義務與敏感個資條款暫緩實施〉,《iThome》,網址:www.ithome.com.tw/itadm/article.php?c=75925,【2014/01/13】。
14.楊啟倫 (2010),〈資料外洩防護產品採購大特輯〉,《iThome》,網址:ithome.com.tw/privacylaw/article/60426,【2014/01/13】。
15.維基百科(2013),〈判例法〉,《維基》,網址:http://zh.wikipedia.org/wiki/%E5%88%A4%E4%BE%8B%E6%B3%95,【2014/01/13】。
16.維基百科(2013),〈遵循先例〉,《維基》,網址:http://zh.wikipedia.org/wiki/%E9%81%B5%E5%BE%AA%E5%85%88%E4%BE%8B,【2014/01/13】。
17.衛生福利部中央健康保險署網站:http://www.nhi.gov.tw。
18.衛生福利部網站:http://www.hso.mohw.gov.tw/sso/map_word.php
19.鄧永基(2011),〈隱私權和個人資料保護的介紹與歐美發展趨勢簡介〉,《財金資訊季刊》,第62期,網址:www.fisc.com.tw,【2013/12/12】。
20.盧玲朱(2009),〈探究個人隱私資料保護之道〉,《清流月刊》,1999年1月號,網址:law.kcg.gov.tw/safe/safe3.pdf‎ ,【2013/12/05】。
21.簡榮宗,〈談企業監看員工電子郵件所產生的隱私權爭議(二) 〉,《台灣法律網》,網址:http://www.lawtw.com/article.php?template=article_content&area=free_browse&parent_path=,1,561,&job_id=26793&article_category_id=200&article_id=12209,【2014/01/13】。

QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top