銀行因內控制度缺失致客戶資料外洩金管會：核處 1 千萬...

asss882001

銀行因內控制度缺失致客戶資料外洩 金管會：核處 1 千萬元罰鍰

金融監督管理委員會（11/28）日因儲蓄銀行對客戶資料保密、資訊安全有未完善建立及未確實執行內部控制制度情事，通過對該銀行裁罰處分案，核處新臺幣一千萬元罰鍰。

去年九月有自稱儲蓄銀行員工的匿名信件寄到金管會，信件內容指出該行資安出包、外洩客戶個資，並附上多筆客戶個資佐證。金管會隨即要求儲蓄銀行啟動調查，但未能查出明確結果。今年五至七月間，儲蓄銀行有六十五家分行密集接到外部信，分別載明各分行遭外洩的客戶個資，經過比對，確為客戶資料。儲蓄銀行向金管會通報重大偶發事件並啟動全行清查，總計寄到金管會及儲蓄銀行的信件，可確定有一萬四千名銀行客戶個資遭外洩。

金管會表示，依儲蓄銀行對客戶資料外洩之查核結果顯示，該行未完善建立內部控制制度，包括未訂定妥適個人電腦管理者權限規範，該行遲至案發後始明定，每半年變更個人電腦管理者權限密碼，長期未辦理密碼變更作業，致客戶資料有外洩風險。且未訂定完善可攜式設備管理規範，有權使用可攜式設備之人員得使用可攜式設備將行內資料攜出，無妥適之讀取控管措施，不利資訊安全保護。

此外，儲蓄銀行亦未確實執行內部控制制度，如報表系統未依內部規範，記錄個人資料使用情況，留存軌跡資料或相關證據，不利個人資料外洩時，追蹤個人資料使用狀況，並影響查核期程；及作業系統上線前及更新時，未能測試出資安監控軟體漏洞，並確認其於工作站之執行情形，致未發現軟體未能正常啟動，造成無法控管及記錄可攜式設備資料之存取，影響查核時效，且無法判斷實際損害情形，不利後續調查程序。前述缺失顯示該行違反銀行法第４５條之１第１項、金融控股公司及銀行業內部控制及稽核制度實施辦法第３條、第８條第１項第２款第２目規定，依同法第１２９條第７款規定，核處一千萬元罰鍰。

來源：法源法律網