壹、保險法、相關子法及行政釋令( 函)    559


          十七之二、 保險業將作業委託他人處理涉及使用雲端服務，具重大性或依
                    第十六點將作業委託至境外者，應檢具下列書件向主管機關申
                    請核准始得辦理：
                    ( 一)  依第四點第二項訂定之作業委外內部控制作業之處理程序。
                    ( 二 )  董（理）事會決議之議事錄。但外國保險業在臺分公司得由
                         經總公司授權人員出具同意書為之。
                    ( 三 )  法規遵循聲明書。
                    ( 四 )  作業委託雲端服務業者處理之必要性及適法性分析，其中
                         應包括對雲端服務業者遵守我國客戶資料保護相關規定之
                         評估。
                    ( 五 )  作業委外計畫書，其內容應包括：
                         1. 風險評估及管理機制：
                           ( 1 )  應對雲端服務業者進行審查以確保提供作業之可靠
                             性、遵法性，包括對業務持續性、替代性及集中性之
                             分析。
                           ( 2 )  應具專業技術及資源監督雲端服務業者執行受託作業
                             之說明。
                         2. 資訊安全及管理：
                           ( 1 )  保險業對於客戶資料之加密或代碼化、金鑰保管、資
                             料傳輸及區隔，以及資料所有權說明。
                           ( 2 )  資料儲存地之管理政策，包括資料處理及儲存於境外
                             時，有關當地法律、政治、經濟安定性評估說明，資
                             料備份及得隨時存取資料之說明。
                         3. 保險業及主管機關，或其指定之人取得雲端服務業者處
                           理受託作業資訊之範圍及方式：包括取得客戶資訊及相
                           關系統之查核報告，及確保實地查核權力之說明。
                         4. 緊急應變計畫及退場機制：包括保險業具有充分資源應
                           變及退場之說明。
                    前項所稱具重大性之作業，係指下列情形之一：
                    ( 一 )  受託作業如無法提供服務或有資訊安全疑慮，對保險業之
                         業務營運有重大影響者。
                    ( 二 )  受託作業涉及客戶資料安全事件，對保險業或客戶權益有
                         重大影響者。
                    ( 三 )  其他對保險業或客戶權益有重大影響者。