本次參賽已經發文過半，因為有部分是個人觀點，所以在看資料時，難免會因無法綜觀事實全貌，而有偏頗，但資安的議題應該是要從嚴，而非假裝看不見問題，不然何來零信任的觀點出現？在整理資料時，也有發現例如iThome、民視財經等等的記者，很盡責去追蹤後續的狀況，然而，資安事件要完全能夠透明，其實還是有其一定的難度，主要還是牽涉到很多專業的層面，但還是以能夠有一定層度的後續說明為主要目標，這也是讓大家能夠建立信任的一個重要因素。共勉之!

本篇主要討論「個人資料保護」的資訊韌性的議題

一、企業背景與產業環境

長榮航空（EVA Air） （上市航運；股票代號：2618）為台灣指標性國際航空公司，營運涵蓋客貨運、地勤、維修與全球訂位系統。其資訊系統承載大量旅客個資、航班作業、票務交易與飛航安全資料，資安韌性直接關係到營運穩定與顧客信任。

二、資訊韌性切入角度

(1) 長榮航於113/04/25在公開資訊觀測站所發佈之重訊：

(2) 引用2025/05/20 iThome報導：https://www.ithome.com.tw/news/162548

三、韌性策略與實際狀況

根據新聞報導，此次事件涉及 388 筆旅客個資遭不當瀏覽，包含姓名、行程與聯絡方式，雖不含信用卡資訊，但仍引發外界關注。不過，究竟對方如何取得旅客帳號，在114年股東會及永續報告書上，也未見後續的相關說明。所以本篇主要討論「個人資料保護」的資訊韌性的議題。

四、制度與文化支撐

對於本次事件，我們主要關注的焦點在於388筆的個資遭不當瀏覽，因此檢視長榮航114年股東會年報及永續報告書有關「個資保護」的部分，來看長榮航對於個資保護的安全管理機制：



從長榮航114年的股東會年報以及永續報告書裡面，長榮航其實從111年就成立「資訊安全暨個資保護委員會」，由以上資料顯示，長榮航對於個資保護的資訊韌性上，很早就已經在運作，因此應該有一定的資訊韌性成熟度。

五、筆者看法及觀點

此次資安事件，儘管長榮航空在事件發生當日即發布重訊，並聲稱已啟動資安防護機制，對於外界最關切的問題「攻擊者如何取得旅客帳號與個資」公司始終未予以具體說明，同時，在 114 年度股東會與永續報告書中，長榮航空亦未針對此事件進行後續揭露或制度檢討，甚至未提及個資外洩的處理流程、通報機制是否啟動、受影響旅客是否獲得通知與補救。此種資訊透明度的缺失，不僅違背了企業在ESG治理中「誠信揭露」的基本原則，更可能削弱外部利害關係人對其資安韌性的信任。

此外，長榮航其實從111年就成立「資訊安全暨個資保護委員會」，這也代表公司本來就非常注重個資的議題，然而，此次事件，還是不禁令人質疑：「資訊安全暨個資保護委員會」是否僅止於形式？若制度存在，卻無法在事件發生時發揮監督與應變功能，那麼其設立的初衷與治理效益便大打折扣。

最後，航空業這類高度依賴數位化系統與個資處理的產業中，資安事件的回應，不應該只有「初步評估無重大影響」，其實建議更應該包含以下各點：

(1) 攻擊手法與弱點分析；
(2) 受影響範圍與資料類型揭露；
(3) 復原進度與制度強化措施；
(4) 對旅客的通知與補償機制。

長榮航空若未能在事後進行制度性反思與公開揭露，不僅無助於建立資安治理的成熟度，更可能因為資訊韌性的不足，讓資安事件成為公司與旅客間不信任的起點。

企業的資訊韌性不只是防禦能力，更是面對風險時的誠信、透明與責任感。若企業選擇沉默或模糊處理，將使資安治理淪為形式，而非實質作為。

以上給大家做參考!