上市櫃公司資安事件應如何揭露？證交所修訂重大訊息發布規定

根據證交所在 2024 年 1 月發布的新版「上市公司重大訊息發布應注意事項參考問答集」，闡明了「臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序」第 4 條第 26 款，規定發生資通安全事件，導致公司重大損害或影響的情況，應如何發布重大訊息。

在本次新增的說明內容中，特別指出「公司的核心資通系統、官方網站或機密文件檔案資料等，若遭駭客攻擊或入侵，造成無法營運或正常提供服務，或發生個資外洩的情形，即屬於造成公司重大損害或影響，公司應依第 26 款發布重大訊息。」

並進一步說明「公司的核心資通系統、官方網站或機密文件檔案資料等，若遭到入侵、破壞、竄改、刪除、加密、竊取、服務阻斷攻擊(DDoS)等，造成無法營運或正常提供服務，或發生個資外洩的情形等。」

因此，以下情況都應發布重大訊息：

• 公司的核心資通系統遭駭客入侵，致使無法營運。
• 公司的官方網站遭駭客攻擊，致使無法正常提供服務。
• 公司發生個資外洩的情形。

這也是證交所修訂「臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序」後的目的，明確化因資安或個資事件而需發布重訊的條件。也期望這樣的作法能增強上市櫃公司資通安全事件的揭露，以保障投資人權益。