用Podcast訂閱本節目 
金管會及上海銀行,在去年9月及今年5月至7月間,陸續接獲民眾反映資訊安全問題。根據上海銀行對客戶資料外洩案查核結果,有上萬名客戶個資外洩,金管會認為,上海銀行確實負有內控缺失的責任。金管會今天(28日)通過處分案,開罰上海銀行新台幣1000萬元。
金管會指出,上海銀行沒有訂定個人電腦管理者權限規範,因為一直到案發後,才明定每半年變更個人電腦管理者權限密碼,使得客戶資料有外洩風險。另外,有權使用可攜式設備的人員,得使用可攜式設備將行內資料攜出,且沒有妥適的讀取控管措施,不利資訊安全保護。
另外,金管會在查核後也發現,上海銀行沒有記錄個人資料使用情況,留存軌跡資料或相關證據,因此不利個人資料外洩時,追蹤個人資料使用狀況,且影響查核期程。另外,作業系統上線前及更新時,也無法測試出資安監控軟體漏洞,並確認在工作站的執行情況,因此沒有發現該軟體有未能正常啟動的情況,造成無法控管及記錄可攜式設備資料的存取,影響查核時效,且無法判斷實際損害情況,並不利於後續調查程序。
金管會也要求上海銀行,全面檢討所涉及的當責人員及主管責任,懲處程度應與所負責任相當,且必須盤點全行涉及個人資料的各類電腦系統是否都建置留存個人資料使用稽核軌跡,以及清查全行行員查詢個人資料相關權限是否符合最小化權限原則,並應定期辦理檢視權限作業。金管會也要求上海銀行,必須充實稽核人員資訊系統能力,並委託會計師辦理全行個人資料保護專案查核。
