《有關資訊安全之違法事項：》
(四)該公司防制洗錢單位人員陸續異動，影響防制洗錢工作有效執行，防制洗錢專責單位之功能有待強化，核有礙健全經營之虞。
(十四)該公司辦理資訊資產及個人資料盤點作業，有未將資訊資產列冊控管及未妥善盤點資料備份儲存媒體等情事，核與「個人資料保護法」第27條第1項及同條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第11條規定不符。

個人資料保護法：

金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法：

(十九)該公司對業務單位專屬之行動APP，無帳號密碼即可下載瀏覽，不利個資安全保護，核與個人資料保護法第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第12條規定不符。

(二十)該公司業務員可將客戶個人資料儲存至非公司控管之雲端空間情事，核與「個人資料保護法」第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第12條規定不符。

《筆者分析》：

在20天的貼文當中，大家可以看到《個人資料保護法》第二十七條，常常會出現，強調非公務機關保有個人資料檔案者，都要採取適當的保護措施，三商美邦這個案件，可以分幾部分討論，首先是沒有確實做好個資盤點作業，那麼個資盤點應該如何做呢？

筆者以經濟部法規委員會所提供的範本來做說明，大家可以參考以下網址：經濟部個人資料保護作業手冊109年4月版https://www.moea.gov.tw/MNS/colr/content/SubMenu.aspx?menu_id=7783

簡單列示如下：

個資盤點表頭：

表格內容：

網址內有填寫範例可以參考，可依範例填寫，並保存資料。

此外，該案件的第二個違法事項，主要是該公司的業務單位可以任意下載客戶資料，顯見對於業務單位並未做權限做分級，如果業務單位任意將個資提供給外部人使用，如此，勢必會造成個資外洩的問題，因此該公司需針對業務單做安全及風險性分級，避免個資外洩。

最後，該公司業務員可將客戶個人資料，儲存至非公司控管之雲端空間情事，也未對權限進行控管，這也是與上述一樣的問題，未控管得宜。

至於，為何會發生這些違法問題？ 筆者另外有貼出違法事項第四項，就是人員陸續離職的問題，該公司因為主管陸續離職，造成資安後續維護人員真空，因此企業在資安人員配置上，都要注意到這個問題，如果離職狀況嚴重，內部就需要好好討論該如何留才了，否則因為人力缺口演變成資安業務無法執行，那就真的罰款就罰不完了。

本案因為資安，一共被罰款330萬元，這是我第一次看到因為人力缺口，造成資安裁罰如此重的案件，真可謂極為嚴重，不得不注意。