個資外洩被罰 上海商銀為十年來第3案、金管會匯整四大問題
金管會統計,因為個資外洩而被罰的銀行,上海商銀是近十年來的第三案,而對於上海商銀此次被罰,金管會也匯整四大問題,向全體國銀示警不要重蹈覆轍。
銀行局副局長童政彰表示,102及103年,曾有類似案件而使銀行遭懲處,行員用USB下載客戶資料帶到行外,當時罰300萬元,另一件則是上傳到外部網站,當時的懲處為400萬元,外洩的筆數都上萬件,而在之後,據銀行局了解,分行端的電腦現在都沒有可插USB的插槽,就是防止客戶資料再被攜出銀行。
至於上海商銀被罰千萬元,並非情節更嚴重,童政彰表示,主要和尚未修法之前,當時的最高罰鍰僅為1000萬元有關。
童政彰表示,由於相關資料已被內部人截走,但卻未有相關資訊留下讓稽核人員作追查,也是金管會開罰的重點。除了上海分行這65家分行之外,其他分行,也已被全面清查。
對於上述四大問題,金管會匯整之後認為上海商銀外洩個資所涉缺失,主要包括了未完善建立內部控制制度和未確實執行內部控制制度兩大面向所產生的四大問題,包括了:
1. 未訂定妥適個人電腦管理者權限規定:上海商銀案發後才明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,致客戶資料有外洩風險。
2. 未訂定完善可攜式設備管理規範:有權人員得使用可攜設備將行內資料攜出,且無妥適讀取控管措施,不利資訊安全保護。
3. 未留存個人資料使用軌跡:案關報表系統未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證據,不利個人資料外洩時追蹤,並影響查核期程。
4. 未測試出資安軟體漏洞並確認其執行情形:未落實執行內部規範,作業系統上線前及更新時,未能測試出資安監控軟體漏洞,並確認其於工作站的執行情形,致未發現該軟體有未能正常啟動情形,造成無法控管及記錄可攜式設備資料的存取,影響查核時效,且無法判斷實際損害情況。
▪ 凶宅沒人要?當年醫師獨到眼光買彰化洪若潭凶宅 今傳開價6千萬元
▪ 有錢人買豪宅當宿舍 民團轟沒列管罰則「頭過身就過」
▪ 首見「獨活女子」戶數高過男性 專家:小宅推一把
▪ 台灣金聯掃貨14間挨批後這次「不買了」 台中共構宅標售出爐
▪ 遏止藉買宿舍名義置產亂象 私法人購屋新增三道鎖
延伸閱讀
贊助廣告
商品推薦
udn討論區
- 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
- 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
- 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
- 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
FB留言