本文共760字
金管會和上海商銀(5876)分別在去年9月、及今年5~7月接獲民眾匿名檢舉該行有外洩客戶資料,經上海商銀清查後,確認共有1萬4000名客戶個資遭外洩,金管會今宣布懲處上海商銀1000萬罰鍰,並要上海商銀究責相關人員,也要求上海商銀需聯繫客戶做提醒、提出客戶保護措施。
銀行局副局長童政彰說,金管會是在2022年9月先接獲民眾匿名檢舉上海商銀有外洩客戶資料,金管會旋即要上海商銀清查;2023年5~7月上海商銀有65家分行端,短時間密集接獲大量檢舉信,指稱客戶資料遭外洩。
這65家上海商銀分行、平均每一分行都接獲該分行約有100位客戶個資外洩的證據,包括客戶姓名和身分證字號,至今這些客戶資料尚未遭到不法利用。
童政彰說,經上海商銀初步研判,有可能是資訊廠商或行員外洩,但至今的確無法確認是誰所為,金管會要求上海商銀需聯繫並提醒客戶防詐騙、也需提出客戶保護措施。
他說,上海商銀主要有四大缺失,一、未留存個人資料使用軌跡,二、未測試出資安軟體漏洞並確認其執行情況,三、未訂定妥適個人電腦管理者權限規定,四、未訂定完善可攜式設備管理規範。
其中又以第一大缺失最影響查核期程,因報表系統沒有依內規去紀錄個人資料使用情況,留存軌跡資料或相關證據,使客戶個資外洩時無法追蹤。
金管會除開罰1000萬元,也對上海商銀做四項監理要求,一、要求上海商銀全面檢討本案所涉當責人員及主管責任,懲處程度應與所負責任相當。
二、需盤點全行涉及個人資料的各類電腦系統,是否均建置留存個人資料使用稽核軌跡,以及清查全行行員查詢個人資料相關權限是否符合最小化權限原則,並應定期辦理檢視權限作業。
三、需建置各類應用系統測試稽核機制,及權限範圍內不正常查詢及下載情形監控分析機制。四、上海商銀需充實稽核人員資訊系統稽核能力,並委託會計師辦理全行個人資料保護專案查核。
※ 歡迎用「轉貼」或「分享」的方式轉傳文章連結;未經授權,請勿複製轉貼文章內容
留言