[新聞] 上海商銀1.4萬戶客戶個資外洩 遭重罰千萬

上海商銀1.4萬戶客戶個資外洩 遭重罰千萬 https://ec.ltn.com.tw/article/breakingnews/4504160 2023/11/28 16:36 https://img.ltn.com.tw/Upload/business/page/800/2023/11/28/4504160_1.jpg 上海商銀1.4萬戶的客戶個資遭到外洩，金管會重罰1千萬元。（記者王孟倫攝） 〔記者王孟倫／台北報導〕金管會今天公開最新裁罰案，上海商銀因為客戶個人資料遭到 外洩共1萬4千戶（已歸戶），顯示該行有未完善建立及執行內部控制制度，致客戶資料外 洩，因此，予以開罰1千萬元。 金管會銀行局副局長童政彰表示，本案先是去年九月向金管會匿名檢舉，我們請銀行馬上 查，但未能查出結果；後來，在今年五月到七月間，上海商銀的分行端也有接獲匿名檢舉 ，並查出該行客戶的紙本名單，遭到外洩攜出。童政彰說明，客戶被外洩的資料內容為姓 名與身分證。 為何銀行客戶資料會遭到外洩？童政彰說，我們已經請銀行進行調查，初步推測，有可能 是資訊系統碰觸到委外單位廠商，或是銀行行員自行攜出兩種可能。 至於客戶被外洩的資料是否被使用？童政彰指出，目前還不瞭解，已經請銀行要調查清楚 ，而且，主管機關也基於未能建立及落實內稽內控，進而開罰上海商銀。 金管會表示，上海商銀本案共四大缺失，第1、未訂定妥適個人電腦管理者權限規範：該 行遲至案發後始明定每半年變更個人電腦管理者權限密碼，長期未辦理密碼變更作業，致 客戶資料有外洩風險。 第2、未訂定完善可攜式設備管理規範：有權使用可攜式設備之人員得使用可攜式設備將 行內資料攜出，且無妥適之讀取控管措施，不利資訊安全保護。 第3、該行案關報表系統未依內部規範，記錄個人資料使用情況，留存軌跡資料或相關證 據，不利個人資料外洩時，追蹤個人資料使用狀況，並影響查核期程。 第4、該行未落實執行內部規範，作業系統上線前及更新時，未能測試出資安監控軟體漏 洞，並確認其於工作站之執行情形，致未發現該軟體有未能正常啟動之情形，造成無法控 管及記錄可攜式設備資料之存取，影響查核時效，且無法判斷實際損害情形，並不利後續 調查程序。 針對本案，金管會依銀行法第129條第7款規定，核處1000萬元罰鍰。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.14.213 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1701179420.A.778.html