個資保護列公司治理評鑑 企業接軌ESG趨勢刻不容緩

2025公司治理評鑑新增「個人資料保護政策」指標，可見個資保護已成為企業落實永續責任不可忽視的議題，若企業個人資料管理政策不清楚、未落實適當安全維護措施，可能造成個資外洩、被濫用，使企業面臨法律責任、聲譽減損，並失去民眾與投資人的信任，因此企業建立並落實個資保護措施至關重要。

臺灣證券交易所（證交所）於去（2024）年12月發布「114年度（第十二屆）公司治理評鑑指標」，於「推動永續發展」項下新增指標「4.32 公司是否制定個人資料保護政策，並揭露內容及其實施情形？」將適用全體上市櫃公司。

「台灣個人資料保護與管理制度」（TPIPAS）有助企業介接國際ESG趨勢

數位發展部委託資策會推動「台灣個人資料保護與管理制度」（TPIPAS），是臺灣唯一由政府推動及認證之個人資料保護制度（PIMS），TPIPAS從法律面、管理面與程序面確保組織有充分、適當管理與控制程序，企業若能取得TPIPAS認證，除能增加民眾信賴，將更有效協助企業符合公司治理評鑑新指標，並有助介接國際ESG趨勢。

國際ESG評鑑標準的個資保護

去（2024）年7月證交所董事長林修銘預告現行公司治理評鑑，未來將參考ESG相關國際準則，目標到2026年將轉型成為「ESG評鑑」。

資策會科技法律研究所法律研究員龔柏龍指出，觀察全球具影響力的ESG評鑑機構，例如明晟永續指數（MSCI ESG Index），隱私與資料安全（Privacy & Data Security）為其評分指標之一，其將考量企業的資訊安全管理系統認證範圍與類型，例如：ISO 27001、TRUSTe、隱私標章或其他標準。指標亦評估企業對資料外洩應變措施、資料蒐用與保留情形、資料保護政策是否完善、對供應商的個資保護政策及監督等。

另參考標普500 ESG指數（S&P 500 ESG Index），隱私保護（Privacy Protection）同為評分指標，以零售業企業自評問卷為例，將檢視企業是否落實隱私管理政策，例如有無指派專責人員或部門負責隱私相關事務、隱私政策是否納入集團層級的風險管理中，是否就隱私保護事項告知客戶，例如個資蒐用與保留情形、當事人權利行使、資料保護方式等。

個資保護已成為企業永續發展與國際ESG評鑑接軌的重要關鍵。企業應規劃長期布局以銜接國際標準，並及早做好準備。