公司治理 Corporate Governance

個人資料保護

本公司重視「客戶隱私權保護」，遵循《個人資料保護法》，訂定《隱私權保護政策》，及嚴謹的個資隱私安全管理與防護措施，並建構資料治理制度，制定資料標準與分級，落實資料存取權限管控及資料擁有者之覆核機制，確保資料的存取與共享受到妥善治理與保護，以及資料的可用性、完整性及保密性。適用範圍涵蓋所有營運據點、子公司、客戶及供應商。針對營運過程中所涉及之個資隱私之蒐集、處理、利用及保護，除遵循政府相關法令規章，在法令規定之範圍內使用，不會提供、出租或以其他變相之方式，將個資揭露予第三人，且會依循公司所定之《隱私權保護政策》落實執行，致力維護客戶的資料安全及隱私權利。此外，本公司為更有效管理隱私相關風險，設立隱私管理組織，負責執行與監督《隱私權保護政策》的遵循情形。組織透過年度會議及依議題需求召開的臨時會議，並提供個資保護工作所需的支援。

隱私權保護政策 »

為避免客戶、供應商、事業夥伴之個資洩漏風險。114年，本公司取得ISO/IEC 27001:2022及ISO/IEC 27701:2019認證，提升客戶機密資訊保護安全性。日常作業環境中，本公司於硬軟體設施、人員作業等各面向持續更新並落實嚴謹的資安措施，例如導入先進的加密技術加強資料保護、加強釣魚郵件偵測並定期執行員工警覺性測試、演練勒索軟體攻擊、落實隱私與個資保護宣導等，維護本公司與各利害關係人重要資產之機密性。 針對個資事件，本公司一向採取「零容忍」原則，如發生個人資料遭侵害事件，權責單位包含資訊、行政部法務組、客戶關係部門將依個人資料保護法及本公司之事件通報處理程序與相關規範調查處理。如有違反保密義務者，將受相關法律及本公司內部規定之處分（包括但不限於終止合作）。 本公司就「員工個資保護培訓課程」、「供應鏈與合作夥伴管理」、「內部管理與技術防護」及「事件回應與風險管理」四大面向，揭露114年度投入個資保護政策相關量化數據及管理指標如下：

• 員工個資保護培訓課程
  課程總完訓人數達56人，課程總時數達6小時
  受訓員工佔全體比例100%
  完訓後測驗及格率皆為 100%
• 供應鏈與合作夥伴管理
  100%供應商制訂隱私權政策
  100%供應商建立文件化規範保護員工個資
• 內部管理與技術防護 每年執行1次客戶個資審查／稽核 每年進行1資料存取權限盤點作業
• 事件回應與風險管理 今年度發生0起違反個人資料保護法事件，行為不當的員工皆依情節輕重受到包含職務調整、解雇在內不同程度懲處。