資訊揭露消極目的與積極目的?
資訊揭露消極目的與積極目的?
在全球ESG浪潮之下,永續投資成為主流,「資訊揭露」成為重要的課題,尤其是「非財務資訊揭露」更是全球企業一項新的競爭力。
每年的機構投資人調查,都會指出最受重視的資訊揭露項目為何?急需改善的項目又是什麼?
我曾提出台灣企業應該從強化資安作為、資安治理之網路安全資訊揭露跨出第一步。
資訊揭露的積極目的,當然是希望所有利害關係人能夠了解企業、認同企業進而支持企業發展,監理單位及機構投資人是其中兩股最重耍的力量。
機構投資人可以透過投票權展現對公司的認同與否,或者透過買進或賣出持有股份表達對企業未來前景的看法。
而監理機關可以透過各項評鑒對企業表現打分數。
那麼做好資訊揭露的消極目的是什麼?
在西方企業界有一個普遍的共識,那就是可以預見未來最昂貴的訴訟就是公司在網路安全上的「管理不善(Mismanagement)」、「濫用公司資產(Waste of corporate assets)」,後果包括業務營運系統的中斷或故障,商業機密與個資的外洩,將導致股價大幅下跌進而遭受股東的集體訴訟。
因此妥善的網路安全資訊揭露其消極目的正是避免集體訴訟、或作為在抗辯過程中的有力證據,進而降低賠償責任及主管機關的巨額罰款。
聲譽風險(Reputation risk)一向被台灣企業忽視,然而依據〈Morrow Sodali 2020 機構投資者調查〉指出認為ESG對投資決策有重大影響者將聲譽風險列為僅次於氣候變遷的重大衝擊。
「家醜不可外揚」是一種老舊思維,特別是隱匿網路安全事件,這在西方企業界是絕對不能被接受的。
終於在今年四月台灣證券交易所正式修訂〈重大訊息處理程序〉第四條第26項,首度將「資通安全事件」明確定義在法條內,要求上市公司發生重大資安事件,應發佈即時重大訊息。
然而主管機關將資安與災難、罷工、環境污染並列為「重大情事」,其構成要件;致有下列情事之一:
(一)造成公司重大損害或影響者;
(二)經有關機關命令停工、停業、歇業、廢止或撤銷污染相關許可證者;
(三)單一事件罰鍰金額累計達新台幣壹佰萬元以上者。
以上三項文字可以發現並無針對「重大資通安全事件」做明確的定義,然而網路安全應以保護消費者權益為優先,建議增列「個資外洩筆數」明確規範,作為「重大情事」之第四項構成要件。
依據〈IBM Cost of a Data Breach Report 2021〉指出平均外洩成本過去七年每年以10%穏定增長,今年高達424萬美元,四大成本分項中「通知(Notification)」與「事後回應(Post breach response)」合計為33%。
調查產業中,醫療、金融與科技產業又高於整體平均外洩成本。
客戶個資(Personal Identification Information, PII)是各類型外洩資料中排名第一,高達44%,平均每筆外洩成本也是排名第一,每筆高達180美元。
但是網路安全資訊揭露必須有賴相關監理機構彼此合作、共同訂出明確的準則,企業才能免於面對多頭馬車而不知如何著手進行。
然而資安是全球性共同議題,各項規範不免重疊、彼此衝突、缺乏整合,不同的定義之間,不同的法律見解實在很難遵從,有關個資的“Right to be forgotten”即是一例,這對台灣的主管機關真的是一大考驗。
例如2018年美國證券交易委員會(SEC)公布針對上市櫃公司「解釋性準則」,另外針對特定行業也有特別規範,例如零售業、醫療保健行業、銀行與保險,這些作法很值得參考。
回到企業本身,尤其是董事會在網路安全資訊揭露中應該扮演的角色為何?
首先資安議題並非IT議題,而是董事會層級議題,例如美國國家技術與標準協會(National Institute of Standard and Technology, NIST)、聯邦金融機構監管委員會(Federal Financial Institute of Exam Counsel, FFIEC)及美國全國企業董監事協會(National Association of Corporate Directors, NACD)皆持一致的看法。
依據NACD的建議,董事會的網路安全資訊揭露可從三大領域著手:
一、與董事會的監督相關,例如監督資安風險的機制、董事會層級的專責監督委員會、相關董事的技能經歷與專長、對於管理階層提供的洞見(Insight)、指定且經確認的人擔任資安長或資訊長、董事會收到的資安管理報告之頻繁及文字用語等等。
二、對資安風險的聲明與陳述,例如如何看待資安風險、判斷標準、處理的原則與態度。實際例子包括反映在對於客戶個資外洩願意承擔的責任、付出代價及補救措施。
三、風險管理相關,例如資安風險管理的作為、相關的風險教育及訓練、與直接利害關係人的合作或互動關係、借助外部顧問的協助。
平日做好資安作為及資安治理的訊息揭露,儘早與專業的風險諮詢顧問公司、公關危機處理公司建立長期合作夥伴關係。
一旦發生資安事件時與其極力遮擋掩蓋,不如勇於面對所有利害關係人,大幅降低聲譽風險(Reputation risk),事實上國際間有許多實際的案例顯示,當企業面臨重大危機事件時,透明公開、有條不紊與積極負責的處理態度往往可以重拾消費者及社會大眾的信心!
倍安保險董事長 黃志明
圖片來源:攝影師:PhotoMIX Company,連結:Pexels