目的 中華民國產物保險商業同業公會及中華民國人壽保險商業同業公會（以下 簡稱產、壽險公會）為強化各會員查詢保險業通報作業資訊系統（以下簡 稱通報作業系統）有關保戶之個人資料安全管理，俾符合相關法令規定， 特訂定本作業要點。

名詞定義 一、查詢作業：係指進入通報系統查詢保戶資料。 二、查詢人員：係指各會員公司依其業務用途，經其權責主管同意後，提 出查詢帳號申請，而有權查詢通報資料之人。 三、保戶資料： （一）基本資料： 係指自然人（包括要保人、被保險人）之姓名、出生年月日、身分 證號（或居留證統一證號、護照號碼）、性別及其他明顯能識別該 個人之資料。 （二）保險資料： 係指投保保險種類、年期、保險金額、保險費、繳費方式，以及其 他與投保保單相關之資料。

查詢作業 查詢作業區分為下列三類： 一、人工單筆查詢（限核保及理賠用途）：查詢人員直接登入通報系統並 輸入帳號密碼後，輸入保戶身分證字號，單筆查詢保戶之基本資料與 保險資料。 二、程式單筆查詢（限核保用途）：查詢人員輸入單筆保戶資料時，立即 以電腦程式登入通報系統並查詢保戶資料，同時將保戶資料轉檔下載 至會員公司之電腦系統，做為即時性核保作業之參考。 三、批次查詢（限核保及理賠用途）：查詢人員需查詢多筆保戶資料時， 預先建立所需查詢之保戶身分證字號電子檔，再以電腦程式登入或直 接登入通報系統，整批查詢保戶資料，並將保戶資料轉檔下載至會員 公司之電腦系統，做為後續辦理保單核保及理賠作業之參考。

安全管控機制 各會員公司應訂定相關資訊安全控管程序，且依下列規範辦理。所訂資安 控管程序並應納入公司內部控制及內部稽核項目，以落實資安程序，確保 系統安全。 一、使用者規範 （一）各會員公司應依工作性質配賦查詢人員查詢權限，並須經其權責主 管同意後，提出查詢帳號申請始得執行查詢作業。 （二）授權查詢人員應負責保護查詢帳號密碼之安全，不得將查詢帳號密 碼交付他人使用，違者會員公司應依其工作規則依情節輕重懲處。 （三）查詢人員應避免將帳號及密碼記錄在書面上，或其他容易洩漏秘密 之場所或物品，當有跡象顯示密碼有遭破解或外洩之虞時，應立即 更改密碼。 （四）各會員公司應配合公會建立查詢人員密碼定期更換機制，密碼更換 週期最長以不超過三個月為限。 （五）查詢人員執行人工單筆查詢時，應於查詢作業完成後立即登出通報 系統，以避免非授權人員非法取得保戶資料。 （六）執行人工單筆查詢、程式單筆查詢或批次查詢時，其電腦程式應設 定所下載之保戶資料以執行對該要保申請所需之核保、理賠審查作 業為限，所下載之原始保戶電子資料應於核保或理賠審查作業完成 後六個月內銷毀，如需列印並以核保或理賠所需審查輔助之工作底 稿為限，其列印之工作底稿並應與要保文件（或理賠文件）一併妥 善存檔。 （七）執行第（六）款所述查詢作業之列印工作時，其列印所需之印表機 應以專機專用為原則，以避免客戶資料外洩之風險。 （八）各會員公司應建立查詢人員異動（包括離職、退休或調動）立即收 回查詢權限之機制，包括有權執行程式單筆查詢與批次查詢之人員 異動，亦應比照辦理。 （九）各會員公司應指定專責人員至少每半年檢視員工作業權限，並考量 是否需重新調整查詢人員。 二、資訊系統安全管理規範 （一）凡涉及第三條規範之查詢作業，各會員公司與通報系統連線時應使 用固定 IP，並以此 IP 為限，IP 更換時應向所屬公會申請變更 ，另應採用身分資料加密、身分鑑別，以及防火牆等措施，以防止 資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。 （二）各會員公司應建立資訊安全稽核制度，定期或不定期進行資訊安全 稽核作業。 （三）為防止電腦病毒及惡意軟體之入侵，各會員公司應採行必要的事前 預防及保護措施，加裝電腦病毒防制軟體，並定期更新。 （四）各會員公司如有以電腦系統執行程式單筆查詢或批次查詢時，其程 式應具備記錄並保存每一筆查詢作業之查詢人員與查詢起迄時間之 功能，俾必要時得以追蹤並釐清所查詢下載保戶資料之使用者責任 。

罰則 各會員公司如有違反本作業要點之情事時，除依法應負其責任外，應對辦 理本業務之人員按其違反情節輕重給予適當處分後，將處分情形函報所屬 公會，並應擬具具體檢討改進方案提所屬公會理事會報告。 前項情形，各會員公司未依所提改進方案限期改進且無正當理由者，得提 請所屬公會理事會通過後處以新台幣十萬元以上，三十萬元以下之罰款處 分，並函報主管機關。

本準則經產、壽險公會理事會通過，並報主管機關備查後實施，修正時亦 同。