▲上海銀行外觀。(圖/ETtoday新聞雲資料照)
記者陳瑩欣/台烣報導
金管會指出,上海銀行外洩1.4萬名客戶資料,確認該行對客戶資料保密及資訊安全有未完善建立及未確實執行內部控制制度情事,案關缺失核有違反銀行法第45條之1第1項及其授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條、第8條第1項第2款第2目規定,爰依銀行法第129條第7款規定,核處1000萬元罰鍰。
銀行局長副局長童政彰說,上海銀個資外洩來源可能一是行員,一是資訊廠商,還在查核中,銀行局不作定論,外資洩料是姓名跟身份證證號。
不過,為了避免相關問題延燒,金管會除了重罰上海銀行1000萬元以外,金管會同時提出4大要求,包括:
1、請上海銀行全面檢討本案所涉當責人員及主管責任,懲處程度應與所負責任相當。
2、要求上海銀行盤點全行涉及個人資料之各類電腦系統是否均建置留存個人資料使用稽核軌跡,以及清查全行行員查詢個人資料相關權限是否符合最小化權限原則,並應定期辦理檢視權限作業。
3、請上海銀行建置各類應用系統測試稽核機制及權限範圍內不正常查詢及下載情形監控分析機制。
4、請上海銀行充實稽核人員資訊系統稽核能力,並委託會計師辦理全行個人資料保護專案查核。
金管會指出,上海銀行於111年9月及112年5月至7月間陸續接獲民眾反映該行資訊安全問題,案經該行查核結果,顯示該行有未完善建立及未確實執行內部控制制度之情事,致客戶資料外洩,且未能保有相關軌跡。
經查,上海銀行有未完善建立內部控制制度與未確實執行內部控制制度兩大作業爭議,其中在未完善建立內部控制制度上,因為未訂定妥適個人電腦管理者權限規範:該行遲至案發後始明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,致客戶資料有外洩風險。
另外,上海銀行也沒有訂定完善可攜式設備管理規範,讓有權使用可攜式設備之人員得使用可攜式設備將行內資料攜出,且無妥適之讀取控管措施,不利資訊安全保護。
而在未確實執行內部控制制度上,金管會調查發現,上海銀行對相關案件的報表系統未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證據,不利個人資料外洩時,追蹤個人資料使用狀況,並影響查核期程。
同時,上海銀行未落實執行內部規範,作業系統上線前及更新時,未能測試出資安監控軟體漏洞,並確認其於工作站之執行情形,致未發現該軟體有未能正常啟動之情形,造成無法控管及記錄可攜式設備資料之存取,影響查核時效,且無法判斷實際損害情形,並不利後續調查程序。
讀者迴響