《有關資訊安全之違法事項:》
(一)委託其他公司辦理網路整合行銷活動參加者之個人資料蒐集作業,有對個人資料事項有未落實辦理查核,致未發現受託者有違反複委託禁止約定,而未將複委託之對象納入監督、未定期確認受託者「個人資料之風險評估及管理機制」執行之狀況,並將確認結果記錄等情事,核有礙健全經營之虞。
《筆者分析》:
本案比較特殊之處是在於『複委託』,意思就是委外的公司,在把某些業務委託給另一家公司協助處理部分業務,但是合約上卻沒有把複委託的公司納入監管,變成資安上的一個『複委託的漏洞』
,複委託比較像金融證券業在說的用語,簡單說,就是外包的外包,有些資訊公司的確有如此做法,例如有些公司接案後,維護人員並非委託公司的員工,有的只是接案,之後發包,但發包的單位或雇員沒有列管,也有可能每次的維修人員都不同,因此就變得很難管理,尤其是金融業更是如此,所以在雙方訂定合約時,應詢問清楚,是否有包商的情況,如果有就要請簽約公司提供維修人員資料,並且訂立保密協定,且當包商人員到公司服務時,都要仔細核對身分資料,以免不必要的人員進入公司。
另外,就是如果是主機代管,也要請包商提供代管的單位資料,並派稽核或風控人員到廠實地查核,並做成資料留存,並評估風險,如果在風險評估後,認為不適宜者,也可要求包商立即更新廠商,如果無法配合,可考慮換新的廠商。
本案該資安違法事項,此項僅為糾正,並無包括到240萬罰款內。