Home財經內神或外鬼? 上海商銀1.4萬客戶個資外洩重罰千萬

內神或外鬼? 上海商銀1.4萬客戶個資外洩重罰千萬

又一家國銀被罰。金管會今(28)日公布最新裁罰案,上海商銀因為1萬4000名客戶個資外洩,且未完善建立執行內部控制制度,依《銀行法》核處1000萬元罰鍰。

銀行局說,先是去年9月金管會接獲匿名檢舉,之後,今年5到7月上海商銀分行也接獲匿名檢舉,查出客戶的紙本名單(包括姓名與身分證)遭到外洩攜出。

副局長童政彰透露,「有可能是行員或是資訊廠商外洩」,目前仍在查核。至於客戶被外洩的資料是否有被使用?銀行局說,目前還不瞭解,已請上海商銀調查清楚。

金管會公布上海商銀的缺失,包括:

(一)未完善建立內部控制制度:

1. 未訂定妥適個人電腦管理者權限規範:該行遲至案發後始明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,致客戶資料有外洩風險。

2. 未訂定完善可攜式設備管理規範:有權使用可攜式設備之人員得使用可攜式設備將行內資料攜出,且無妥適之讀取控管措施,不利資訊安全保護。

(二)未確實執行內部控制制度:

1. 該.行案關報表系統未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證據,不利個人資料外洩時,追蹤個人資料使用狀況,並影響查核期程。

2. 該行未落實執行內部規範,作業系統上線前及更新時,未能測試出資安監控軟體漏洞,並確認其於工作站之執行情形,致未發現該軟體有未能正常啟動之情形,造成無法控管及記錄可攜式設備資料之存取,影響查核時效,且無法判斷實際損害情形,並不利後續調查程序。

金管會也表示,已要求上海商銀進行後續的追查及究責,包括:

1. 全面檢討本案所涉當責人員及主管責任,懲處程度應與所負責任相當。

2. 要該行盤點全行涉及個人資料之各類電腦系統是否均建置留存個人資料使用稽核軌跡,以及清查全行行員查詢個人資料相關權限是否符合最小化權限原則,並應定期辦理檢視權限作業。

3. 請該行建置各類應用系統測試稽核機制及權限範圍內不正常查詢及下載情形監控分析機制。

4. 請該行充實稽核人員資訊系統稽核能力,並委託會計師辦理全行個人資料保護專案查核。

相關報導