公告日期：111年6月20日

國泰世華商業銀行（簡稱本行）為提升資料分析處理作業之安全，並充分保障本行客戶權益，依據CNS 29100-2:2019個人資訊去識別化過程管理系統-要求事項，著手建立個人資料(簡稱個資)去識別化管理制度。風險評鑑為去識別化管理制度中的重要工作之一。為釐清個資去識別化業務可能面臨的風險，鑑別其弱點及威脅而導致之風險，進而加以控管，以降低風險到本行可承受的程度，並遵守「銀行法」、「個人資料保護法」、「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」、「金融機構作業委託他人處理內部作業制度及程序辦法」相關規範。本行已於111年4月30日辦理風險評鑑，特以此風險評鑑報告摘要說明本行風險評鑑作法。

• 本行作法聲明
• 風險評鑑時機
• 1.定期：每年一次。
• 2.不定期：當發生下列狀況時，應針對可能影響之範圍執行風險評鑑。
• ■相關法令規範變更而對本行產生影響。
• ■作業流程或服務範圍改變。
• ■本行組織重大改變。
• ■相關利害團體反映時。
• ■發生重大隱私事故後。
• 所採用去識別化技術之有效性
  依據個人資料保護法、組織任務、資料使用對象及目的、所持有含個資之資料內容、形式、資料揭露對象、揭露方式、處理成本及風險評鑑結果等因素，採用與K-匿名處理技術相同技術，(對直接識別匿名化處理、間接識別概化處理、對敏感資料進行離群值或區間化處理)，並在通過重新識別機率評估及重新識別測試驗證後，方完成去識別化處理程序。
• 評鑑結果發現
  資料集之風險值皆小於本行訂定之風險基準值，本次評鑑結果合格通過
• 其他涉及個人資料去識別化過程之風險評估
• 本行針對個資去識別化過程可能產生的風險，每年皆會進行資安風險評鑑及隱私衝擊評鑑(PIA)，並分析對組織之可能衝擊：
• 資安風險評鑑依「國泰世華商業銀行ISO 27001風險評鑑管理要點」辦理。
• 隱私衝擊評鑑(PIA) 則依「國泰世華商業銀行個人資訊資產風險評鑑管理規則」進行。
• 本行並於發生重大隱私事故後，將重新進行資安風險評鑑及PIA。
• 倘您欲行使個資法第三條規定之各項權利，有關如何行使之方式，得向本行客服(0800-818-001或(02)2383-1000）詢問或於本行網站（網址：www.cathaybk.com.tw/cathaybk/）查詢。