《有關資訊安全之違法事項：》
(一) 該公司網路ｅ方便資料庫，未依內部規範將要保人之信用卡號、有效期限加密儲存，核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第13款規定不符。

保險業內部控制及稽核制度實施辦法：

(二)公司辦理應用系統開發、維護、安全檢測作業有欠妥適，漏洞風險評估及修補作業欠確實，核有礙健全經營之虞。
(三)公司辦理資料異動相關作業，對於有權登入資料庫變更資料者，因作業處理不當，致未傳送資料庫存取紀錄日報表供主管及相關人員覆核，核有礙健全經營之虞。
(四)該公司行動應用程式APP及網路投保系統之安全設計有欠妥適，核有礙健全經營之虞。
(五)該公司應用程式密碼安全性設計，有未依所訂內部規範設計之情事，核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第13款規定不符。

《筆者分析》：

有關該案的各項違法事項，筆者說明如下：
(一) 客戶的信用卡卡號及有效期限未加密處理：筆者認為可能原因是沒有用字元隱蔽，而直接明示的關係，如果有心人士進行側錄，那有客戶信用卡就有機會被盜刷，筆者建議，現在刷卡之後，銀行皆會通知消費資訊，有的透過簡訊，有的透過mail或line，總之，要核對一下消費資料，每個月帳單，也要核對一下明細，如果發現明細上有刷卡未成功，且當日未曾消費的情況的下，一定要跟發卡銀行再確認，如有需要更換新的信用卡，可請求重發卡片，避免卡片資料被破解或被盜用。
(二) 漏洞風險評估及修補作業欠確實：這部分無法得知其漏洞為何，但如果風險評估與金管會保險局的查核要求不一致時，還是要配合保險局的要求，由內部風控單位修正其風控辦法，並要求資訊單位修補漏洞。
(三)資料庫存取紀錄日報表：這張日報表應是公司內部表單，可能是在資料異動時候，會產出這張內控表單，這部分因單位主管未進行覆核(確認)，所產生的一個內控缺失，除了主管機關會要求改正，稽核單位也會要求單位主管解釋流程上的問題。這部分屬企業內部控管的問題，筆者建議，這部分可以透過ERP系統控管，走電子簽核的模式，產出表單，也符合企業卡控的精神。
(四) 行動應用程式有安全問題：由近期案件來看，似乎保險業很多APP都有安全漏洞的問題，這部分是值得未來做討論的一個大主題，台灣好像有太多家企業，不只金融保險業，似乎都有應用程式或APP的安全問題，這值得注意與探討。
(五) 應用程式密碼安全性設計，有未依所訂內部規範設計之情事：由此點可知，設計人員可能不知道內規到底寫了甚麼，換句話說，部門內控歸內控，設計歸設計，設計人員沒有事先將部門要求標準了解，才會出現不符規定的狀況。這點部門主管也有責任，如果人員不知道規定，部門主管再覆核之時，也應該比人員更了解規定，並且告知人員要注意的地方，明顯沒盡到責任，可見得該部門的螺絲沒鎖太緊。

這五項雖有三項屬糾正案，然而內控缺失的部分一定會被罰，只要有違『內部控制及稽核制度』，大部分都會被開罰，畢竟是三道防線的最後一道防線，只要一違反，罰款一定不輕的，因此，本案一共被裁罰120萬元。