法規名稱: | 保險業辦理行動身分識別服務(Mobile ID)業務自律規範 |
---|---|
公布日期: | 民國 114 年 01 月 02 日 |
第 5 條
前條作業處理程序,至少應包括下列風險控管及控制措施:
一、簽署要保書:
(一)客戶收到簽署要保書之電子訊息(包含但不限於 QR Code、Email
、簡訊)後,開啟電子要保書連結,應設有身分證字號、出生年月
日及圖形驗證碼等檢核,並於通過後方可開啟並閱覽電子要保書。
(二)客戶同意要保內容,於電子簽章程序前,須閱讀並同意相關服務條
款、個人資料蒐集、處理及利用聲明以及行動身分識別服務使用者
約定條款及隱私權告知條款。
(三)行動身分識別服務(Mobile ID) 驗證通過後,需藉由「保險業辦
理電子商務應注意事項」第十三點第二款之輔助驗證機制,達成強
化辨識簽署人身分之目的,其他輔助身分驗證程序經主管機關核准
者則不在此限。
(四)設置通知措施向客戶說明已收到完成電子簽章之電子要保書。
(五)結合行動身分識別服務(Mobile ID) 簽署要保書應設置電子訊息
連結之時效限制,惟以不超過保險生效日為限。
(六)行動身分識別服務(Mobile ID) 及其輔助驗證需設置驗證次數上
限,避免客戶透過多次驗證識別客戶完整個人資料。
(七)簽署完成之行動身分識別服務驗證資料應結合要保書存儲,可供後
續查驗之完整呈現。
二、簽署理賠申請書:
(一)客戶至保險公司辦理理賠通報業務,依畫面或服務人員提示提供理
賠通報所需之資料。
(二)由網頁預覽客戶提供之理賠通報資料,經客戶或服務人員點擊送出
,由系統判斷客戶填寫之通報資訊是否符合適用資格。
(三)客戶同意理賠申請書內容,於電子簽章程序前,須閱讀並同意相關
服務條款、個人資料蒐集、處理及利用聲明以及行動身分識別服務
使用者約定條款及隱私權告知條款。
(四)結合行動身分識別服務(Mobile ID) 簽署理賠申請書服務,應透
過保險公司建置之會員平台之會員身分認證輔助其身分認證程序或
第三方認證機構憑證簽署,達成強化辨識簽署人身分之目的。
(五)結合行動身分識別服務(Mobile ID) 簽署理賠申請書應設置電子
訊息之時效限制。
(六)行動身分識別服務(Mobile ID) 及其輔助驗證需設置驗證次數上
限,避免客戶透過多次驗證識別客戶完整個人資料。
(七)簽署完成之行動身分識別服務驗證紀錄應結合理賠申請書存儲,可
供後續查驗之完整呈現。
三、取代保全電訪確認作業:
(一)以客戶之保單原留存行動電話發送交易確認簡訊通知。
(二)客戶點選簡訊連結需通過個人基本資料(包含但不限於身分證號碼
、生日及驗證碼)、保單基本資料、行動身分識別服務(Mobile
ID)驗證程序及身分證驗證程序,始可進行交易內容確認,確認前
需閱讀並同意行動身分識別服務使用者約定條款及隱私權告知條款
。
(三)以行動身分識別服務(Mobile ID) 取代保全電訪確認應設置簡訊
之時效限制,惟以不超過 24 小時為限,逾時則依保險業作業規定
,執行保全電訪確認作業。
(四)行動身分識別服務(Mobile ID) 及其輔助驗證需設置驗證次數上
限,避免客戶透過多次驗證識別客戶完整個人資料。
四、資料傳輸與資訊安全:
(一)保險業辦理本業務應取得資訊安全管理系統國際標準認證(
ISO27001)及個人資料管理系統(PIMS),並應針對使用行動身分
識別(Mobile ID) 身分認證系統之人員、資料傳輸之過程、資料
儲存作業、交易紀錄保存、資訊交換作業等各方面安全控管機制,
制定資訊安全政策,並納入保險業內部控制及內部稽核項目。
(二)保險業應留存相關申請紀錄、資料傳輸與接收軌跡紀錄。
(三)資料及檔案之傳輸與儲存,應依主管機關要求之資訊安全防護相關
規範辦理。
(四)針對所傳輸之個人資料,保險業應建置適當之保護設備或技術,採
取適當之存取管制。
(五)保險業應監控並建立資通安全事件通報程序,遇事件發生時相關單
位及人員依循通報程序辦理。