邇來發生多起旅宿業個資外洩事件，請旅宿業者應遵照法規辦理。

一、邇來旅宿業個資外洩事件層出不窮，旅宿業者應有警覺心、 建立資安意識，包括內部資安管理如何配置、有無配置管理 之人員，系統有無定時更新、修補等，養成良好的「網路衛 生」習慣，管理好員工跟系統，先予敘明。

二、爰此，為加強旅宿業對於個人資料之保護措施之事前防護， 避免遭受網路攻擊並保護資通訊設備及消費者個人資料安 全，請旅宿業者配合辦理事項如下：

(一)蒐集、處理、利用個人資料，應依「個人資料保護法」、 「資通安全管理法」相關規定辦理，並依「交通部指定觀 光產業類非公務機關個人資料檔案安全維護計畫及處理辦 法」規定，旅宿業保有消費者個人資料筆數達8千筆，應 訂定個人資料檔案安全維護計畫，落實個人資料之安全維 護與管理，防止個人資料遇有遭竊取、竄改、毀損、滅失 或洩漏等事故，倘發生個人資料事故，並應採取適當應變 措施，以強化對個資的監管責任。

(二)另依「交通部指定觀光產業類非公務機關個人資料檔案安全維護計畫及處理辦法」第5條規定：「旅宿業訂定個人 資料檔案安全維護計畫及處理方法時，應視其組織規模、 特性、保有個人資料之性質及數量等事項。」，參酌同法 第6條至第21條規定，訂定包含下列各款事項之適當安全 維護管理措施，並落實執行，主管機關依同法第6條派員 檢查： １、非公務機關之組織規模及特性。 ２、個人資料檔案之安全管理措施： (１)配置管理之人員及相當資源。 (２)界定蒐集、處理及利用個人資料之範圍。 (３)個人資料之風險評估及管理機制。 (４)事故之預防、通報及應變機制。 (５)個人資料蒐集、處理及利用之內部管理程序。 (６)設備安全管理、資料安全管理及人員管理措施。 (７)認知宣導及教育訓練。 (８)個人資料安全維護稽核機制。 (９)使用紀錄、軌跡資料及證據保存。 (１０)個人資料安全維護之整體持續改善。 (１１)業務終止後之個人資料處理方法。

(三)倘委託他人蒐集、處理或利用個人資料，例如委託第3方 出票或系統廠商，應依「個人資料保護法施行細則」第8 條規定對受託者為適當監督，並明確約定相關監督事項與 方式，監督事項包含受託者或其受僱人違反個人資料保護 法相關法令時，應向旅宿業者通知之事項及採行之補救措 施等。

(四)如受個資外洩受害之民眾，旅宿業者應依個人資料保護法(下稱個資法)第12條規定：「...非公務機關違反本法規 定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查 明後以適當方式通知當事人。」同法施行細則第22條第2 項規定：「依本法第12條規定通知當事人，其內容應包括 個人資料被侵害之事實及已採取之因應措施。」通知當事 人。

(五)應落實員工個資及資通訊安全之訓練，以加強資安防護意 識。

(六)就系統設備部分：

１、重要服務應用系統與資料庫主機應定期實施帳號清查， 並確認各項系統設備之密碼強度是否符合安全性原則、 系統版本是否為最新版本，以減少資訊安全漏洞，避免 易被駭客攻陷。

２、建議每年至少實施1次資安健診，以確認是否有未發現 之問題點，並定期對重要系統或主機實施弱點掃描，若 可行應進行1次源碼檢測。

３、定期針對管理之資訊資產進行盤點，並掌握所有資訊設 備、作業系統之版本升級或汰換期程，軟/硬/韌體更新 評估之可行性，以確保資安防護作為。

(七)為落實個人資料保護，請業者每年至少1次務必確實執行 「觀光產業個人資料檔案安全維護自主檢查表」，並逐項 檢視，如有檢核未符規定事項，應儘速檢討改善依法辦 理。

三、針對非公務機關（旅宿業）個資外洩案通報方式及判斷案件 類型分為如下:

(一)一般案件：旅宿業者發現或知悉有個資外洩案件後72小時內填復通報表報本署，另位處在直轄市一般觀光旅館係通 報直轄市政府。

(二)重大矚目案件：

１、定義：經媒體顯著披露之個資外洩案件，例如經平面媒 體全國性版面報導、電子媒體專題討論。

２、旅宿業者發現或知悉有個資外洩案件後24小時內填復通 報表報本署，另位處在直轄市一般觀光旅館係通報直轄 市政府。

四、有關旅宿業個資外洩案「行政調查」結果，業者如未依個資 法第27條第1、2項訂定個人資料檔案安全維護計畫或業務終 止後及個人資料處理方法，以及採取適當之安全措施，即違 反個資法第48條第2、3項非公務機關安全維護義務，應逕行 處罰同時命改正，處新臺幣(下同)2萬元以上200萬元以下罰 鍰；情節重大者，處15萬元以上1,500萬元以下罰鍰；屆期 未改正者，按次處15萬元以上1,500萬元以下罰鍰。

五、另為強化觀光旅館業對個資的監管責任，並提升資安防護意 識，本署及6都直轄市政府將依個人資料保護法第22條規 定，不定期派員執行個資安全抽檢。 六、相關個人資料法規及表單已放置臺灣旅宿網/旅宿行政資訊/ 檔案下載項下(https://taiwanstay.net.tw/downloadlist? category=33&keyword=&sort=hohf_date)。