【作者】    Stephen Faraci 
【資料來源】    J D Supra
【發佈日期】    2015年 9月 9日
【介紹者】    閻書孝研究員/本篇由何佩諸顧問審訂
【簡介】   

遭受到資料入侵的公司越來越多，而耗費在每個資安事件的平均成本是越來越高。根據Ponemon Institute的2014 Cost of Data Breach Study: Global Analysis，資料入侵的平均總成本在2014年提高到380萬美元，比起2013年還增加23％。

在這個狀況下，公司的受託人—董事及高階主管—需要瞭解公司隱私及資安的政策及控制。良好的公司治理是指引導公司的規範、實務及程序，這套系統可以協助公司管理並降低法律風險、困難及支出，包括與網路威脅、資安問題相關的風險及支出。其實，Ponemon的研究特別點出，董事會層級的參與被視為是可以降低資安問題成本的主要關鍵。董事會層級的參與，也可以協助保護公司避免因資安問題而引起訴訟，包括消費者集體訴訟、聯邦或州的監理執法行動，以及讓董事與高階主管面臨個人責任的股東代位訴訟。

而良好公司治理如何可以有效避免因資安而引起的訴訟呢？在Palkon v. Holmes案，美國紐澤西聯邦地方法院(United States District Court for the District of New Jersey)駁回了Wyndham Worldwide Corporation股東對董事會所提出的代位訴訟，該公司於2008年4月至2010年1月間，發生3起據稱危及超過60萬名顧客個資的資料入侵事件。法院駁回的關鍵是，Wyndham的董事會在有關網路威脅及公司個資安全上，已履行有意義且積極的檢視程序。

以下是作者對任一公司之受託人在蒐集個人識別資訊上，所提出最重要的5個建議：

• 建立程序，以確保董事會對公司的隱私及資安實務及控制是知情的，這包括定期開會討論個資安全政策。在Palkon案，法院表示在2008年10月至2012年8月之間，Wyndham的董事會曾開會14次討論網路攻擊、公司安全政策，並提出安全強化措施，另外審計委員會也在同一期間至少於16場會議中檢視過同樣的議題。
• 詢問相關的公司人員，包括公司法律顧問、資訊長及技術長。在Palkon案，法院表示公司法律顧問就已發生的資安問題提出過簡報，並針對公司的資安議題於每季董事會做例行報告。
• 請教專家如何強化公司資安，包括第三方的資料安全專家及外部律師。在Palkon案，法院表示公司有委託科技公司調查每起資安事件，並且對強化公司資安提出建議。
• 確保公司已經發展並落實資安事件的回應計畫，其中包括即時通知利害關係人。
• 把公司忠實執行有關隱私及資安議題的商業判斷加以文件化，包括確認所有議事錄及決議，都夠詳細到能展現董事會對隱私及資安是以最嚴正的態度來考量。

如果公司治理政策及程序對隱私及資安，展現出來的是一個積極的做法，你的公司不只可以降低任何可能發生的資安問題成本，還可以在資安事件可能引起的無數訴訟中，取得最佳的防衛位置。

【網址連結】
http://www.jdsupra.com/legalnews/are-your-directors-talking-enough-about-13333/