明確規範
為加強個人資料及隱私權保護,臺灣金控集團訂定《臺灣金融控股股份有限公司及各子公司客戶資料保密措施》,明定資料蒐集、儲存及保管方式、資料安全及保護方法等相關規範。
管理、應變、通報、預防
集團各公司亦訂有《個人資料檔案安全維護計畫及業務終止後個人資料處理方法》及個資保護管理與風險評估等作業規定,除定期查核個資安全維護現況、評估可能產生之個資風險外,並根據風險評估結果訂定適當管理機制後,再制定應變、通報及預防機制,以落實個資保護管理、善盡對客戶資料保密職責。
教育訓練
為強化個資保護意識和建立尊重個資的企業文化,臺灣金控持續推動個資保護的教育訓練,使同仁充分瞭解相關法令要求及個資保護責任。
集團各公司每年均辦理個人資料安全事故緊急應變演練,以提高同仁對個資外洩事件之警覺性及熟練後續應變措施;臺灣銀行亦於企業內部網站建置個人資料保護專區,以利同仁知悉個人資料保護相關資訊;臺銀人壽定期提供個人資料保護宣導季報,並固定舉行個人資料保護相關課程教育訓練;臺銀證券每月於對同仁之法令宣導內設有個人資料保護宣導專欄,每年固定舉辦個資保護之教育訓練課程,使各同仁充分瞭解相關法令要求,提升個資保護相關意識。
個資外洩應變演練
臺灣金控訂有《個人資料檔案安全維護計畫及業務終止後個人資料處理方法》,每年辦理1次個資外洩應變演練,由總經理核定年度負責演練單位,由該單位擬具演練計畫、召開演練會議及辦理演練,以提升全體同仁對個人資料保護之意識。
2023年臺銀人壽發生個資爭議事件1件,經財團法人金融消費評議中心通知評議結果,應給付當事人1千元,臺銀人壽已修正系統、強化員工教育訓練並妥善處理。
資訊安全
資訊安全政策
臺灣金控集團屬於資通安全管理法定義之特定非公務機關,為強化資通安全管理,確保資料、系統、設備及網路安全,保障客戶權益,臺灣金控訂有集團《臺灣金融控股股份有限公司及各子公司資通安全政策》,作為金控及子公司實施各項資安措施之依據。依據資通安全政策規範,集團各公司均已成立資通安全推動組織,推動資通安全管理制度之運作,各公司亦訂有資通安全維護計畫,每年至少檢討評估1次,並追蹤執行情形,以確保符合相關法令、技術及營運發展現況。
資安管理驗證
臺灣金控集團各公司均已通過「資訊安全管理制度ISO/IEC 27001:2013」國際標準驗證,並持續維持證書有效性,2024年各公司將陸續完成 ISO/IEC 27001:2022 轉版驗證,藉由導入國際標準化管理制度,提升公司資安治理品質,建立精進改善的管理流程。此外,子公司臺灣銀行及臺銀人壽亦通過「營運持續管理 ISO 22301」及「個人資訊管理系統 BS 10012」等國際標準驗證,以加強資安系統並持續提升資訊安全防護能力。