《有關資訊安全之違法事項：》
(一)委託其他公司辦理網路整合行銷活動參加者之個人資料蒐集作業，有對個人資料事項有未落實辦理查核，致未發現受託者有違反複委託禁止約定，而未將複委託之對象納入監督、未定期確認受託者「個人資料之風險評估及管理機制」執行之狀況，並將確認結果記錄等情事，核有礙健全經營之虞。

《筆者分析》：

本案比較特殊之處是在於『複委託』，意思就是委外的公司，在把某些業務委託給另一家公司協助處理部分業務，但是合約上卻沒有把複委託的公司納入監管，變成資安上的一個『複委託的漏洞』，複委託比較像金融證券業在說的用語，簡單說，就是外包的外包，有些資訊公司的確有如此做法，例如有些公司接案後，維護人員並非委託公司的員工，有的只是接案，之後發包，但發包的單位或雇員沒有列管，也有可能每次的維修人員都不同，因此就變得很難管理，尤其是金融業更是如此，所以在雙方訂定合約時，應詢問清楚，是否有包商的情況，如果有就要請簽約公司提供維修人員資料，並且訂立保密協定，且當包商人員到公司服務時，都要仔細核對身分資料，以免不必要的人員進入公司。

另外，就是如果是主機代管，也要請包商提供代管的單位資料，並派稽核或風控人員到廠實地查核，並做成資料留存，並評估風險，如果在風險評估後，認為不適宜者，也可要求包商立即更新廠商，如果無法配合，可考慮換新的廠商。

本案該資安違法事項，此項僅為糾正，並無包括到240萬罰款內。