23. Day23：2022年版台灣大哥大永續報告書
    https://corp.taiwanmobile.com/esg/esg-report.html

P8
基於經營電信所累積的天賦，台灣大哥大進一步展開Telco+策略，將電信服務發展出各式各樣的新服務，賦能企業客戶邁向永續發展。譬如，先後打造兩項台灣電信首創的反詐利器：全天候偵測偽冒網站及偽冒APP的防護服務「反詐戰警」，以及隱蔽手機號碼的全雲端服務「安心Call」，從源頭阻斷詐騙個資洩漏，化解企業因資安而引起的永續經營危機，為台灣社會建立「防堵詐騙」的銅牆鐵壁。

P25
心大願景主軸：體驗未來（Elevating Future Experience）
策略構面：智慧創新與應用
2022年策略目標：雲端含資安服務年營收達$1.2億
2023起目標為ESG綠能創新服務，包含 : IDC, Smart IT管家, 雲端服務, 資安服務等產品項
P32
2015、2017年於董事會下分別設立「風險管理委員會」，2020年提升「資通訊暨個資隱私安全委員會」之督導層級至董事會，永續發展委員會不定期與各委員會溝通攸關經營風險、社會創新、資安等議題，共同促進公司永續發展。

圖 23 1 台灣大哥大資安組織圖（部分）

P34
對應心大願景主軸：責任企業（Responsible Business）
重大性主題 對公司的正向衝擊 對公司的負向衝擊 公司因應作法
資訊安全 公司提供行動語音及行動數據服務，屬政府指定之關鍵基礎設施業者，需依資通安全法辦理資安管理與維護，可強化資安與個資隱私保護水準 資通安全法訂有罰則，若未落實資安與個資隱私防護措施，而遭駭客攻擊可能發生違法受罰風險 落實與持續改善ISO/IEC27001資訊安全管理制度，強化作業流程及管控措施
隱私保護 使用者對個人隱私與安全的關注更勝以往，公司落實用戶個人隱私資料，可讓客戶更安心，提升公司正面形象，增加服務營收 公司擁有龐大的用戶個人隱私資料，若不慎外洩，需負法律責任，並嚴重損害公司形象 持續推動BS 10012及ISO/IEC 27701、29100隱私保護認證，融入企業經營流程

重大性主題 策略目標 目標年 2022進度
資訊安全 達成管理系統KPI，定期追蹤 2035 每半年管理審查會
提報KPI均達目標
隱私保護 維持最新個資隱私國際標準
ISO 27701 2035 每半年ISO 27701認證
稽核，維持證書有效

P35
1.5 TCFD及其他風險分析
商業活動 全球產業發展趨勢 台灣國內產業發展趨勢 台灣大目前市場地位
企業客戶服務 ・雲端經濟
・物聯網
・5G垂直應用
・資訊安全 ・雲端服務
・物聯網
・企業5G專網
・資安委外 ・結合5G生態圈夥伴，開發垂直應用
・量身打造一站式解決方案
資訊科技 ・大數據與雲端應用
・「無紙化」全球趨勢 ・數位轉型/系統行動化
・發展線上數位服務替
代傳統臨櫃作業 ・即時銷售資訊，加速管理決策
・自主研發無紙化解決方案
資訊安全 兩年疫情帶來各產業
的加速數位化 國家成立數位發展部
(moda)，持續強化資
訊安全要求 已獲得ISO 27001與其他
相關資安管理認證

商業活動 機會 威脅
企業客戶服務 ・ AIoT, AR, VR技術驅動企
業轉型
・ 物聯網/資安對AI應用加速 ・雲端服務
・系統整合(SI)異業競爭
資訊科技 ・提高管理效率
・降低紙本、郵寄成本
・提高個資安全 ・資安攻擊
資訊安全 Moda稽核行動寬頻與固網通訊之資通安全管理，強化公司管理架構 駭客利用IoT、AI等新科技，攻擊製造、金融與關鍵基礎設施等產業

商業活動 創新策略/服務 對應公司
企業客戶服務 ・雲端服務
・物聯網
・5G專網
・資安服務 ・台灣固網
資訊科技 ・系統行動化/雲端化
・無紙化表單結合影音電子簽名 ・台灣大哥大
資訊安全 提供5G專網資安及工業控制等
安全信任之服務 ・台灣大哥大
・台灣固網

P39
1.6 利害關係人溝通: 全面回應利害關係人需求
時間 事件 改善對策
06/28 該日上午9點50分，在台灣固網與中華HiNet介接的電路，發現來自HiNet的流量出現中斷之情形，經緊急與中華電信報修，於10點35分恢復 NCC調查事發原因與責任歸屬並責成中華電信採取斷網行動前應再確認。
後續台灣大依照NCC指示，與中華電信協調合理的網路保護機制，未來在自動判斷的基礎上導入完善橫向聯繫與再確認機制，以兼顧資安與用戶權益。

P43
2.1 營運概況
董事會進修
2022年參與課程包含：「淨零碳排與企業治理、臺灣永續分類標準的推動與未來展望」、「碳定價機制-台灣如何選擇?氣候變遷之下的TCFD評估」、「綠色產業的發展動向-低碳投資展望與因應商業策略」、「元宇宙的資安議題與隱私問題」、「審計委員會進階實務分享-併購審議與董事責任」、「企業永續的加速器-CSR、ESG及SDGs」、「新金融時代：數位科技的發展趨勢與因應策略」、「全球永續金融(Sustainable Finance)的趨勢與因應」、「AI人工智慧科技新領域之運用：金融科技及洗錢防制」等。

P59
7.個資安全及隱私保護
維持ISO 27001/ 27701認證
保護客戶個資及隱私
強化資安防護措施
（如資安健診、APT及郵件防護等）
零經證實之資訊洩漏
失竊或遺失客戶資料事件

公司每半年辦理外部稽核，維持ISO 27001資訊安全與ISO27701隱私保護之認證，參考ISO 27005風險管理標準，鑑別與管理風險。
設置資通訊暨個資隱私安全委員會，邀請獨立董事列席指導重大資安/個資風險因應措施，投入資源落實管控，投保「資料保護責任險」。委員會運作如下︰
1.總經理兼任資安長同時指派主任委員，各群最高主管指派委員，每季開會一次。
2.委員會下轄各小組運作：
維運小組：每季開會執行與改善個資隱私及資安措施。
內稽小組：由取得稽核證照之同仁組成，每半年執行內稽。
緊急處理小組：由主任委員依事件性質召集。
行動寬頻小組：由技術、營運最高主管指派。
資安長負責協調資通安全組織，領導與推動資訊安全，規劃四大策略(如右圖)，
落實資訊安全。2022年系統偵測阻擋違規外傳機敏資料共117件，阻擋率100%。

圖 23 2 台灣大哥大資通訊暨個資隱私安全委員會組織圖（部分）

圖 23 3 台灣大哥大客戶個資與機敏性資料處理圖
P113
永續風險評估與負面衝擊改善計畫
台灣大透過永續風險評鑑來追蹤供應鏈的永續風險變化，提前辨識潛在風險，並進行相關風險管控。2021年主要供應鏈風險為斷鏈風險，台灣大將持續關注可能受較大衝擊產品及服務之原料來源；2022年主要供應鏈風險為ESG中的治理風險，將要求供應商加強資安相關管理制度文件化，並於年度ESG審查瞭解供應商推動情形。
台灣大於2021年鑑別出的7家高風險廠商，已於2022年達到100%複查。2022年，台灣大共針對400家廠商進行永續風險評鑑，鑑別出9家ESG中治理高風險廠商，預計於2023年完成100%複查。

P141
數據隱私
編號 指標內容 描述
TC-TL-220a.1 與客戶隱私相關的政策和措施 隱私相關政策性質與目的，在於避免客戶個人資料與隱私受侵害，同時促進個人資料與隱私之合理利用
隱私政策之範疇，包含門號申裝、開通、異動、帳務處理、客戶服務等服務流程，規劃與落實以下四大構面，達成用戶個資與隱私保護：
1.對外防駭客：建置入侵防禦、網路區隔、防火牆、網頁防火牆等。
2.對內防洩漏：辦理資料外洩防護偵測與缺口補強等。
3.系統規劃建置：納入系統開發安全規範，執行程式碼掃描等。
4.維運監控：建置資訊安全監控中心，檢核與分析系統紀錄，發現異常狀況即時通報與追蹤處理。
有關處理客戶資訊的收集、使用和保留於以下「資訊管理各生命週期階段及各階段的做法如何影響個人隱私」說明公司已取得並維持「隱私保護管理機制(PIMS)」之BS 10012及ISO/IEC 27701、29100認證，並成立資通訊暨個資隱私安全委員會，制定並定期檢討個人資料與隱私管理政策，定期向董事會報告外，亦已投保資安險以增進客戶資料保護
TC-TL-220a.1 說明資訊管理各生命週期階段及各階段的做法
如何影響個人隱私 資訊管理之生命週期階段包含以下項目：

1. 收集/蒐集：於客戶申裝公司服務時，利用櫃台螢幕、紙本或官網資料，說明蒐集目的與使用範圍等告知事項，當事人同意後蒐集，以利開通對應服務
2. 使用/利用：需符合蒐集之目的，於內部使用時確認應對個人資料與隱私檔案之存取權限；於行銷目的時，提供客戶免付費之拒絕行銷方式，公司即停止利用其個人資料與隱私檔案進行行銷
3. 保留/留存：依據公司機敏資料保護規範，設定存取權限等資安管控機制，確保客戶資料之機密、完整與可用性
4. 處理：確認資料之正確性及安全性管理，提供客戶補充或更正之受理窗口，並於補充或更正資料後，以email、簡訊等適當方式回覆客戶
5. 揭露：公司落實個人資料保護，不會對外揭露，以免侵犯客戶的隱私而違法受罰
6. 銷毀刪除：當個人資料檔案處理之目的消失、保存期限屆滿或客戶請求刪除時，依作業規範刪除該個人資料檔案
   以上已納入「個人資料與隱私蒐集、處理與利用管理程序」，確保公司於蒐集、處理及利用個人資料與隱私時，皆能符合個人資料保護法、相關法令法規及契約之要求且未逾越特定目的之必要範圍
   TC-TL-220a.1 說明隱私衝擊評鑑(PIA)之使用 台灣大透過「個資與隱私衝擊分析暨風險評鑑自評表」，針對PIA以下六面向進行分析 ：
7. 收集標的及樣態：於服務申裝書制定前，評估蒐集的個人資料類別與樣態，落實於設計階段將隱私風險納入考量
8. 收集原因：需參考個資法規範，確認蒐集個人資料之目的，僅為必要個資且經當事人知情同意
9. 可能用途：制定個人資料會被利用的期間、地區及方式，僅於特定目的內利用，避免侵害客戶個資隱私而違法
10. 資訊共享對象：制定個人資料會被分享之對象及傳輸方式，落實管控規範，降低個資隱私外洩風險
11. 個人拒絕或接受的權利和機會：提供客戶免付費之拒絕或加入行銷方式，以維護客戶權益，符合個資法規範
12. 如何確保資訊安全：規劃與落實四大構面-對內防洩漏、對外防駭客等，落實用戶個資與隱私保護
    已制定「PIMS-002個人資料與隱私檔案清冊與風險評鑑作業管理程序」，規範個人資料與隱私檔案清冊與風險評鑑作業，確保個人資料與隱私檔案能有效受保護
    TC-TL-220a.1 政策和作為如何解決兒童隱私問題 針對未滿20歲之申辦用戶(包括兒童)，需請「法定代理人」同時攜帶「身分證正本」及「第二證件正本」陪同辦理申裝，將父母或監護人同意納入機制中始能蒐集、處理含兒童在內之個資與隱私
    TC-TL-220a.1 針對資訊管理各生命週期階段，建議說明下列階段之數據性質、類型、和作法：收集(沒有得到個人同意/有知情同意(opt-in)/需個人選擇退出(opt-out))、使用(組織內部分析/第三方外部分享買賣或租用)、留存(儲存期限/資訊安全保障措施) (SASB建議企業同步揭露此指標) 資訊管理之生命週期階段包含蒐集、處理、利用和銷毀刪除
13. 蒐集：於客戶申裝公司服務時，當事人同意始可蒐集，故100%同意
14. 利用：規範客戶選擇退出(opt-out)行銷，立即設定停止利用行銷，達成率100%
15. 保留(留存)：依據公司機敏資料保護規範，設定存取權限等資安管控機制，達成率100%
16. 處理：規範客戶補充或更正時於期限內完成處理，達成率100%
17. 銷毀刪除：規範客戶請求刪除時，依作業規範刪除該個人資料檔案，達成率100%；參考法令制定保存期限，於客戶於退租後滿11年後，主動刪除客戶個資
    TC-TL-220a.1 客戶行為定向廣告如何呼應七項議題：
    對消費者的線上廣告行為之教育、數據收集及使用行為的透明揭露
    、消費者可掌握其數據的收集或移轉、儲存數據的安全、政策改變
    前的同意權、敏感性資訊的管理、及義務參與自律組織
    (self-regulatory organization) (SASB建議企業同步揭露此指標) 官網之隱私權聲明:說明客戶可於申裝時，於申裝書勾選同意(opt-in)公司利用個人資料提供行銷資訊；若您表示拒絕接受(opt-out)行銷，提供您免費表示選擇拒絕接受行銷之方式(手機用戶直撥188或電話撥打0809-000-852)，即設定停止行銷利用。另針對官網廣告之隱私權相關權益說明:用戶可於TAmedia廣告展示空間右下方logo處點擊導引至官網了解相關資訊，內容包括隱私權保護適用範圍、資料蒐集、資料保護等，若用戶不願被使用資料，此網頁中也有協助告知如何停止追蹤不再被使用。完整隱私權聲明：https://www.tamedia.com.tw/privacy-policy/
    此外，TAmedia自2012加入台灣數位媒體應用暨行銷協會(DMA)，致力與會員共同發展台灣數位廣告生態，接軌國際共同合作發展數位服務，與業界夥伴一同努力為台灣消費者營造良好數位廣告環境，提升業界整體經營環境。

P142
編號 指標內容 2020 2021 2022 資訊補充
TC-TL-220a.2 客戶資訊用於第二用途的獨立客戶數量 - - - 公司依據個資法蒐集用戶個資，只用於特定目的；若有特定目的外之使用，將會要求客戶簽署同意書，故客戶未同意前，不會將客戶資訊用於第二用途。
「PIMS-004 個人資料與隱私蒐集、處理與利用管理程序」規範如下：個人資料與隱私檔案之利用作業必須符合個人資料保護法、相關法令法規及契約之要求，且建立利用個人資料
與隱私檔案之相關控管與紀錄規範。」
TC-TL-220a.3 金錢損失總額（元） 0 0 0 無金錢損失
TC-TL-220a.3 法律程序的性質
（如判決或命令、和解、認罪、延緩執行等） 無數據隱私
相關訴訟 有1件 用戶因手機門號被詐騙集團盜用而依個資法等請求TWM賠償事件，經法院判決TWM無違反個資法行為，不須賠償 有2件 用戶因手機門號被詐騙集團盜用而依個資法等請求TWM賠償事件，經法院判決TWM無違反個資法行為，不須賠償 註
TC-TL-220a.3 說明所有金錢損失的性質，如判決後之結果、和
解、認罪、延後起訴協議、不起訴協議，金錢損
失的情形
(如未經授權的監控、數據共享、兒童隱私等) - - - -
TC-TL-220a.3 說明因法律程序而須落實的任何改善措施，包括
但不限於營運、管理、流程、產品、業務合作夥
伴、培訓或技術等之改善 - - - -
TC-TL-220a.4 來自政府或執法機構對客戶訊息的總請求次數，
包括客戶內容數據和非內容數據之資訊，且兩者
皆可能包含個人身分(PII)訊息 (次) 199,708 199,020 2021年始依SASB準則指標揭露(法務室受理TWM、TFN案件數)，故未提供2020年未公開之數據
TC-TL-220a.4 資訊受到各個政府或執法機構要求提供的獨立客戶總數量 (位) - - - 現行系統無此統計功能，無法提供，將評估統計
TC-TL-220a.4 在收到相關揭露要求後，實際揭露的次數比例 (%) 99.97% 99.98% 99.98% 註

P143
編號 指標內容 2020 2021 2022 資訊補充
TC-TL-230a.1 資訊洩漏總事件數 0 0 0 在報導期間統計內外部資安事件，未有發生資訊洩漏事件，個人可識別資料未於資訊洩漏事件中遭洩露，故百分比為0
TC-TL-230a.1 個人可識別資訊(PII)的百分比(%) 0 0 0 在報導期間統計內外部資安事件，未有發生資訊洩漏事件，
個人可識別資料未於資訊洩漏事件中遭洩露，故百分比為0
TC-TL-230a.1 受影響客戶數 0 0 0 在報導期間統計內外部資安事件，未有發生資訊洩漏事件，
個人可識別資料未於資訊洩漏事件中遭洩露，故百分比為0
TC-TL-230a.1 針對資訊洩漏所採取之補救措施 - - - 未發生資訊洩漏之事件；若發生資訊洩漏之事件，公司已制定相關規範，採取補救措施，如事件通報、啟動緊急應變措施、問題調查分析與矯正改善等營運流程、管理、教育訓練等方面之改善
TC-TL-230a.1 企業及時向受影響客戶揭露資訊洩漏事件之相關政策(SASB建議企業同步揭露此指標) 已於個資隱私保護之SOP-「PIMS-007個人資料與隱私侵害事件通報管理程序」規範，當個人資料與隱私侵害事件發生時，緊急應變小組需通知受侵害當事人，以電話、簡訊、電子郵件等方式通知；若影響客戶數量過鉅時，得以網際網路、新聞媒體或其他適當公開方式辦理
TC-TL-230a.2 構成資安風險之資訊安全系統脆弱度的鑑別方法 風險評鑑程序參考ISO/IEC 27005資通安全風險管理實務指引，針對各項資通訊資產列出所有可能的威脅及弱點，如人員組織之調查，以及網路或主機之安全漏洞問題，以了解各項資通訊資產所暴露於威脅與弱點環境的程度。其中弱點值是指在現有控制措施之下，弱點脆弱度被利用之容易程度；威脅值是指在現有控制措施之下，威脅利用弱點發生之機率；再鑑別衝擊值，指威脅利用弱點對資產造成影響之程度；最後計算出資訊安全系統脆弱度的風險值，以進行後續風險處理程序。相關內容已納入資安管理之SOP-「ISMS-001資通安全管理作業規範與程序」制度中。
TC-TL-230a.2 減緩和解決資安風險及資安脆弱度之解決方法 風險評鑑完成後，由資通安全維運小組依據風險評鑑結果，撰寫風險評鑑報告，並呈報資通訊暨個資隱私安全委員會審查，以決定優先執行風險管理之資通訊資產與可接受風險值。依據可接受風險水準，將資通訊資產不可接受之風險進行處理。指派專人擬定「風險處理計畫」，並經主管複核後辦理，定期追蹤風險處理進度。相關內容已納入資安管理之SOP-「ISMS-001資通安全管理作業規範與程序」制度中。
TC-TL-230a.2 第三方網路安全規範之使用 公司已取得並維持ISO/IEC 27001「資訊安全管理制度(ISMS)」，每半年辦理第三方稽核；第三方網路安全規範涵蓋三個子公司台灣固網、台灣客服科技與台灣大數位之營運範疇/營業活動，包含固定通訊、客戶服務與手機等維修服務等。另依循台灣國內資安規範如《資通安全管理法》，擬定「電信事業資通安全維護計畫」，針對第三方網路-其它行動及固定通信等公眾電話網路之互連節點（Point of Interconnection， POI），制訂核心網路與國際電信業者間之信令傳送加密或可偵測偽冒信令機制等控制措施
TC-TL-230a.2 所觀察到的資安與系統相關攻擊之型態、頻率、
來源等趨勢(SASB建議企業同步揭露此指標) 於資安與系統方面，近年全球駭客利用勒索軟體，攻擊企業造成資料外洩等帶來營運重大風險，數位轉型和數位化的轉變考驗組織面臨的資安威脅的能力，另疫情帶來居家辦公，亦造成資安邊界難以界定與增加防護難度。公司因應各項新興資安威脅，除落實與持續改善ISO/IEC27001「資訊安全管理制度」強化作業流程及管控措施外，透過執行滲透測試，模擬駭客行為等方式，監控、測試並改善弱點。