好記 Hoki — 個人資料安全事故應變 SOP

一、目的

本標準作業程序（SOP）依據《個人資料保護法》第 12 條及第 27 條之規定，針對「好記 Hoki」AI 輔助諮商紀錄系統（以下簡稱「本系統」）可能發生之個人資料安全事故，訂定應變處理流程，以降低事故影響並確保相關通報義務之履行。

二、適用範圍與定義

個人資料安全事故係指個人資料遭不法蒐集、處理、利用、竊取、竄改、毀損、滅失或洩漏之事件。本 SOP 適用於涉及本系統之所有安全事故。

事故類型

類型	說明	範例
資料外洩	個人資料遭未授權人員存取或揭露	資料庫遭入侵、帳號遭盜用
資料竄改	個人資料遭未授權修改	諮商紀錄遭竄改、帳號權限遭變更
資料毀損/滅失	個人資料因故無法存取或永久遺失	資料庫損毀、伺服器硬體故障
系統入侵	伺服器或系統遭惡意攻擊	惡意程式感染、暴力破解攻擊

三、事故嚴重度分級

等級	定義	判斷標準	回應時限
第一級（嚴重）	大規模或敏感資料外洩	涉及案主可辨識資料、影響超過 10 人或超過服務案主總數之 10%、或涉及特殊個資	立即處置 1 小時內初步回報
第二級（中度）	有限度之資料外洩或系統異常	涉及去識別化資料、影響 10 人以下且未超過服務案主總數之 10%、帳號遭盜用	4 小時內處置 8 小時內初步回報
第三級（輕微）	潛在風險但未實質發生資料外洩	多次登入失敗、可疑存取嘗試、系統漏洞發現	24 小時內處置 48 小時內回報

判斷原則：由於本系統之諮商紀錄皆經去識別化處理，且原始錄音與逐字稿不保存，因此多數情境屬第二級或第三級。但若加密金鑰外洩導致資料庫可被解密，應視為第一級。

四、應變流程

1

發現與通報

任何人員發現或懷疑安全事故時，應立即：

記錄發現時間、方式及初步觀察
通報系統管理員（Superadmin）
不得自行嘗試修復或掩蓋事故跡象
不得關閉或重啟系統（除非正在遭受攻擊且需緊急阻斷）

↓

2

初步評估與隔離

系統管理員接獲通報後，應於時限內完成：

確認事故：檢視稽核紀錄（系統管理後台 > 稽核紀錄），確認異常事件
評估嚴重度：依第三節之分級標準判斷事故等級
緊急隔離：
- 帳號遭盜用 → 立即停用該帳號並強制登出
- 伺服器遭入侵 → 中斷網路連線，保留現場證據
- 資料庫損毀 → 停止寫入，準備從備份還原
通知個資管理負責人（系統開發者張益善）

↓

3

深入調查

由系統管理員與個資管理負責人共同執行：

分析稽核紀錄，追溯事故時間線
確認受影響之資料範圍與人數
釐清事故根因（系統漏洞、人為疏失、外部攻擊等）
評估資料是否已實際遭存取或外洩
保全所有事故相關證據（紀錄檔、稽核紀錄、螢幕截圖等）

↓

4

通報與通知

依事故嚴重度執行通報：

通報對象	時限	通報內容
委託機構	確認事故後 24 小時內	事故概述、受影響範圍、已採取之措施、後續處理計畫
主管機關（個資保護主管機關）	確認事故後 72 小時內（本時限參考 GDPR 第 33 條，以高於現行台灣法規之標準自主執行）	依主管機關規定之格式通報
受影響當事人	依主管機關指示或法規規定	事故說明、可能影響、已採取之保護措施、當事人可採取之行動

依《個人資料保護法》第 12 條：公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

↓

5

修復與復原

修補已確認之安全漏洞
如資料庫受損，從最近之加密備份還原
重設受影響帳號之密碼
如加密金鑰外洩，更換加密金鑰並重新加密資料庫
確認系統功能正常後，恢復服務

↓

6

事後檢討與改善

撰寫事故報告，記錄完整事故經過、影響評估及處理結果
進行根因分析（Root Cause Analysis）
提出改善建議並更新安全維護計畫
必要時修訂本 SOP
向相關人員進行安全宣導

五、本系統特有風險與減緩措施

風險情境	影響評估	已有減緩措施	事故處理要點
SQLCipher 加密金鑰外洩	資料庫可被解密，所有資料暴露	金鑰透過 Google Cloud Secret Manager 管理	立即更換金鑰，重新加密資料庫，視為第一級事故
心理師帳號遭盜用	可存取該心理師之個案紀錄	Token 過期機制、閒置登出、稽核紀錄	停用帳號、檢視稽核紀錄、通知受影響個案
伺服器遭入侵	可能存取記憶體中之逐字稿	Google Cloud 台灣區域專屬運算環境部署、AI 模型自主部署不呼叫外部 API	中斷網路、保全證據、評估當時處理中之資料
備份檔案遭竊取	備份不含諮商紀錄，僅含系統管理資料；如有加密金鑰則可解密	備份自動排除諮商紀錄（DELETE + VACUUM）；備份保持 SQLCipher 加密	確認金鑰是否同時外洩；備份中不含敏感諮商內容，實質風險有限
去識別化失敗	諮商紀錄可能含可辨識資訊	AI + 正規表達式雙層處理	通知心理師人工檢查，必要時刪除或重新處理

風險減緩要點：由於本系統 AI 模型自主部署於 Google Cloud 台灣區域專屬運算環境（不呼叫外部 AI API）、自動刪除原始錄音與逐字稿、雙層去識別化、諮商紀錄僅保留 2 天且備份中不含諮商紀錄，即使發生資料外洩，實際曝露之敏感資料極為有限。諮商紀錄已經去識別化，降低了個資辨識的可能性。

六、應變聯絡清單

角色	姓名	聯絡方式	備註
個資管理負責人 / 系統開發者	張益善	hokinote.service@gmail.com （待補）	所有事故之主要聯絡人
委託機構聯絡人	[待填]	[待填]	各機構指定之聯絡人
主管機關	衛生福利部（心理健康司）	02-8590-6666	第一、二級事故需通報

七、事故紀錄表（範本）

欄位	內容
事故編號	HOKI-INC-YYYY-NNN
發現時間	＿＿年＿＿月＿＿日＿＿時＿＿分
通報人
事故類型	資料外洩 / 資料竄改 / 資料毀損 / 系統入侵
嚴重度等級	第一級 / 第二級 / 第三級
事故概述
受影響資料範圍
受影響人數
緊急處置措施
根因分析
通報紀錄	委託機構：＿＿ / 主管機關：＿＿ / 當事人：＿＿
修復措施
改善建議
結案日期
處理人

八、事故應變快速檢查清單

確認事故發生時間與方式
判斷事故嚴重度等級
執行緊急隔離措施（停用帳號/中斷連線）
通知個資管理負責人（張益善）
檢視稽核紀錄，追溯事故時間線
確認受影響之資料範圍與人數
保全事故證據
24 小時內通知委託機構
72 小時內通報主管機關（第一、二級事故）（本時限參考 GDPR 第 33 條，以高於現行台灣法規之標準自主執行）
修補安全漏洞
從備份還原資料（如適用）
重設受影響帳號密碼
確認系統恢復正常
撰寫事故報告
進行根因分析
更新安全維護計畫（如需）

版本紀錄

版本	日期	修訂內容	修訂人
1.0	2025-02-15	初版制定	張益善
2.0	2026-02-21	更新備份風險評估（備份已排除諮商紀錄）；新增 2 天自動刪除之風險減緩說明	張益善