金管會通過對上海商業儲蓄銀行違反法令之裁罰處分案,依上海銀行對客戶資料外洩案之查核結果顯示,該行對客戶資料保密及資訊安全有未完善建立及未確實執行內部控制制度情事。
金管會說,該缺失核有違反銀行法第45條之1第1項及其授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條、第8條第1項第2款第2目規定,爰依銀行法第129條第7款規定,核處新臺幣1,000萬元罰鍰。
銀行局副局長童政彰表示,金管會及上海銀行於111年9月及112年5月至7月間陸續接獲民眾反映該行資訊安全問題,案經該行查核結果,顯示該行有未完善建立及未確實執行內部控制制度之情事,金管會清查結果1萬4000筆個資外洩,今年遭外洩的個資,更是資料被攜出行外,被寄到分行。
金管會提到,上海商銀未完善建立內部控制制度,包括未訂定妥適個人電腦管理者權限規範,該行遲至案發後始明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,致客戶資料有外洩風險。
另外,未訂定完善可攜式設備管理規範,有權使用可攜式設備之人員得使用可攜式設備將行內資料攜出,且無妥適之讀取控管措施,不利資訊安全保護。
金管會表示,上海商銀未確實執行內部控制制度,該行案關報表系統未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證據,不利個人資料外洩時,追蹤個人資料使用狀況,並影響查核期程。
而上海商銀未落實執行內部規範,作業系統上線前及更新時,未能測試出資安監控軟體漏洞,並確認其於工作站之執行情形,致未發現該軟體有未能正常啟動之情形,造成無法控管及記錄可攜式設備資料之存取,影響查核時效,且無法判斷實際損害情形,並不利後續調查程序,依銀行法第129條第7款規定,核處1,000萬元罰鍰。
金管會表示,金融機構應依「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」完善建立個人資料保護管理程序及措施,並定期檢視其妥適性及落實執行。金管會也將持續督促金融機構強化資訊安全與個人資料保護作業,以維客戶權益與個人資料安全。