iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 20
1
Security

資安裁罰案件分析系列 第 20

DAY 20 第十八件裁罰案 金管會保險局裁罰對象:三商美邦人壽保險股份有限公司 裁罰日期:108/9/11

https://ithelp.ithome.com.tw/upload/images/20201004/20107482jJFDytRKyW.jpg

《有關資訊安全之違法事項:》
(四)該公司防制洗錢單位人員陸續異動,影響防制洗錢工作有效執行,防制洗錢專責單位之功能有待強化,核有礙健全經營之虞。
(十四)該公司辦理資訊資產及個人資料盤點作業,有未將資訊資產列冊控管及未妥善盤點資料備份儲存媒體等情事,核與「個人資料保護法第27條第1項及同條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法第11條規定不符。

個人資料保護法:
https://ithelp.ithome.com.tw/upload/images/20201004/20107482E65qMhnlLL.jpg

金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法:
https://ithelp.ithome.com.tw/upload/images/20201004/201074829spNMSQC4i.jpg

(十九)該公司對業務單位專屬之行動APP,無帳號密碼即可下載瀏覽,不利個資安全保護,核與個人資料保護法第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第12條規定不符。

https://ithelp.ithome.com.tw/upload/images/20201004/20107482WTD4LJjiCJ.jpg

(二十)該公司業務員可將客戶個人資料儲存至非公司控管之雲端空間情事,核與「個人資料保護法第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第12條規定不符。

《筆者分析》

在20天的貼文當中,大家可以看到《個人資料保護法第二十七條,常常會出現,強調非公務機關保有個人資料檔案者,都要採取適當的保護措施,三商美邦這個案件,可以分幾部分討論,首先是沒有確實做好個資盤點作業,那麼個資盤點應該如何做呢?

筆者以經濟部法規委員會所提供的範本來做說明,大家可以參考以下網址:經濟部個人資料保護作業手冊109年4月版https://www.moea.gov.tw/MNS/colr/content/SubMenu.aspx?menu_id=7783

簡單列示如下:

個資盤點表頭:
https://ithelp.ithome.com.tw/upload/images/20201004/20107482hpTFW4C3Dj.jpg

表格內容:
https://ithelp.ithome.com.tw/upload/images/20201004/20107482vK3IfIpIhW.jpg

網址內有填寫範例可以參考,可依範例填寫,並保存資料。

此外,該案件的第二個違法事項,主要是該公司的業務單位可以任意下載客戶資料,顯見對於業務單位並未做權限做分級,如果業務單位任意將個資提供給外部人使用,如此,勢必會造成個資外洩的問題,因此該公司需針對業務單做安全及風險性分級,避免個資外洩。

最後,該公司業務員可將客戶個人資料,儲存至非公司控管之雲端空間情事,也未對權限進行控管,這也是與上述一樣的問題,未控管得宜。

至於,為何會發生這些違法問題? 筆者另外有貼出違法事項第四項,就是人員陸續離職的問題,該公司因為主管陸續離職,造成資安後續維護人員真空,因此企業在資安人員配置上,都要注意到這個問題,如果離職狀況嚴重,內部就需要好好討論該如何留才了,否則因為人力缺口演變成資安業務無法執行,那就真的罰款就罰不完了

本案因為資安,一共被罰款330萬元,這是我第一次看到因為人力缺口,造成資安裁罰如此重的案件,真可謂極為嚴重,不得不注意。


上一篇
DAY 19 第十七件裁罰案 金管會保險局裁罰對象:國泰人壽保險股份有限公司 裁罰日期:108/9/16
下一篇
DAY 21 第十九件裁罰案 金管會保險局裁罰對象:合作金庫人壽保險股份有限公司 裁罰日期:108/8/30
系列文
資安裁罰案件分析30

1 則留言

1
SunAllen
iT邦研究生 1 級 ‧ 2020-10-04 08:41:07

看起來像沒有DLP...orz

我要留言

立即登入留言