本公司重視「客戶隱私權保護」,遵循《個人資料保護法》,訂定《個人資料保護管理辦法》,及嚴謹的個資隱私安全管理與防護措施,並建構資料治理制度,落實資料存取權限管控及資料擁有者之覆核機制,確保資料的存取與共享受到妥善治理與保護及資料的可用性、完整性及保密性。適用範圍涵蓋所有分公司、營運據點、客戶及供應商。針對營運過程中所涉及之個資隱私之蒐集、處理、利用及保護,除遵循政府相關法令規章,在法令規定之範圍內使用,不會提供、出租或以其他變相之方式,將個資揭露予第三人,且會依循公司所定之《個人資料保護管理辦法》落實執行,致力維護資料安全及隱私權利。此外,本公司為更有效管理隱私相關風險,由總經理室負責執行與監督《個人資料保護管理辦法》的遵循情形。透過年度會議及依議題需求召開的臨時會議,建立跨單位個資法遵循溝通平台,並提供個資保護工作所需的支援。本公司《個人資料保護管理辦法》已公布於公司官網之「投資人專區/公司治理專區/重要內規」下,供利害關係人查閱。
此外,本公司風險管理小組執行對應的風險管理策略,定期進行風險評估與風險管理,檢視內部遵循個資及資安相關辦法、程序與法規,落實資訊保護,並將風險管理運作情形提請公司治理委員會審查與核定風險承受能力,並提報董事會。
本公司資訊安全管理涵蓋所有資訊資產之保護,資安措施包括每日系統資料備份、權限管理年度檢核、每月弱點掃描及修補、社交工程演練定期執行員工警覺性測試、資安宣導與系統更新等,以降低資訊遭受未授權存取或攻擊之風險。同時,亦依個資法及相關法規定期檢視並更新《個人資料保護管理辦法》,確保個人資料的蒐集、使用、保存、傳輸與銷毀流程均具備適當安全措施,並與資訊安全管理機制相互配合,強化整體資料保護,維護與各利害關係人重要資產之機密性。
針對個資事件,本公司一向採取「零容忍」原則,如發生個人資料遭侵害事件,權責單位將依個人資料保護法及本公司之事件通報處理程序與相關規範調查處理。如有違反保密義務者,將受相關法律及本公司內部規定之處分(包括但不限於終止合作)。
本公司就「員工個資保護培訓課程」、「供應鏈與合作夥伴管理」、「內部管理與技術防護」及「事件回應與風險管理」四大面向,揭露114年度投入個資保護政策相關量化數據及管理指標如下:
- 課程總完訓人數達53人,課程總時數達26.5小時
- 受訓員工佔全體比例約54%
- 完訓後測驗及格率皆為98%
- 前三大供應商制訂隱私權政策
- 前三大供應商建立文件化規範保護員工個資
- 每年進行一次ERP資料存取權限盤點
- 每日執行系統及資料備份
- 每月執行關鍵系統弱點掃描及重大弱點修補
- 每週進行電腦全面掃毒
- 每月辦理資安宣導
- 不定期執行社交工程演練與系統更新
- 資料採分層權限管理,僅限具職責之人員可存取
- 資料庫皆採加密儲存,避免未經授權之讀取
- 機密資料外傳需經主管審核與加密管道傳遞,禁止以未加密方式傳輸或儲存
- 離職員工或調職人員即時移除相關系統權限,避免不當存取風險
今年度發生零起違反個人資料保護法事件,個資申訴案件公司目標於三天內回覆處理
應廣科技個人資料保護管理電子信箱:hr@padauk.com.tw