iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 27
1
Security

資安裁罰案件分析系列 第 27

DAY 27 第二十四件裁罰案(2) 金管會保險局裁罰對象:南山人壽保險股份有限公司 裁罰日期:108/5/17

接續上一篇,

https://ithelp.ithome.com.tw/upload/images/20201010/201074825KhwVv3YJj.jpg
https://ithelp.ithome.com.tw/upload/images/20201010/20107482H7nEXIdYAZ.jpg

《有關資訊安全之違法事項:》
(三) 下列二項缺失事項均核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第8款規定不符:

  1. 該公司委託外部資安廠商之網路監控服務,經查其對於控管服務方式之決定有延宕情形。另該公司有未建立非屬重大資安事故事件之處理程序之情事。
  2. 該公司辦理行動裝置應用程式(APP)維護管理作業,所訂關於行動應用程式上架、安全性檢測、發布與更新等作業之規範,有違分工牽制原則。另該公司尚有未依所訂內部規範,定期辦理APP程式原始碼檢測、發行用密碼變更、憑證備份與封存等作業之情事。
    (五) 該公司網路投保之個資可複製至個人電腦,並無稽核軌跡及管控措施,核與「個人資料保護法」第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第14條第1項規定不符。

(六) 該公司將正式作業主機之個資檔案及資料庫複製至開發測試主機作業,有未去識別化之情形,核與「個人資料保護法」第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第10條第1項第5款規定不符。

(七)該公司電子商務系統之安全設計涉及個人資料,尚未妥適隱碼顯示,核與「個人資料保護法」第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第10條第1項第2款規定不符。

《有關資訊安全之違法事項:》

接續上篇,筆者主要說明兩個常見的原則:

(1) 分工牽制原則:有關本次裁罰事件(三)-2,有提到此原則,其實這個原則也常在之前的裁罰案當中看見,這個原則主要是為了防止舞弊與錯誤,最常見的就是在表單下方,至少都會有製表人、主管、核准人(如下圖),
https://ithelp.ithome.com.tw/upload/images/20201010/20107482UPRd2d0UZd.jpg

目前因為大部分公開發行公司都改走電子簽核,所以直接在ERP裡面就設定卡控的機制,也就是如果沒有經上一層簽核,一定無法跳過,直接到核准人簽核,這種分工牽制原則,已經行之有年了,不過,還是會有其問題,其中一個問題,就是如果大量的表單到集中到某一個層級的主管,那麼他在簽核時,就不會細看內容,直接就放行,也就是錯誤的機率還是存在,畢竟,有些主管沒辦法每天就在辦公室裏面,從早到晚,只做點按點按的核准流程,即使有如此的問題,但是既然點了核准,該負責的還是要負責,這就是所謂的分工牽制原則的一個問題。大家看一下該違法事項,就有行動應用程式上架、安全性檢測、發布與更新等作業之規範,這三個項次,其實APP上架是很嚴謹的事情,通常都會簽核到總經理或部門經理的層級,我們假設如果最後通通集中到部門經理層級,光一個安全性檢測,他如何能夠了解其中是否有缺失呢?這就是剛剛說的分工牽制原則的一個問題。

**內部控制制度對於分工牽制原則的定義**:
> 為防止錯誤和舞弊,對於每一項業務的處理,都要求有`二人或二人以上共同分工負責`,以相互牽制,互相制約的機制。 這主要通過組織分工來實現。 其基本要求是職責分離。 它不僅要求劃分職責,明確各部門或個人的職責和應有的許可權,同時還要規定相互配合與制約的方法。

(2) 個人資料去識別化過程驗證要求及控制措施:(三)至(五)項缺失,除了未留下稽核軌跡之外,主要就是違反了個資法的去識別化原則,簡單說,就是想辦法把你的個資給隱蔽,讓人看不出來,這個人就是你。筆者引用下面兩篇報導:

去識別化就是透過一些技術或遮蔽方式,使得一筆資料不再與特定個人有連結。最常見也最簡單的例子,像是提及人名時,時常可見以「哆啦○夢」這樣的方式進行表示(儘管這也時常是失敗的去識別化的案例)。
(新聞來源:聯合報2019-03-27:https://vision.udn.com/vision/story/12932/3720706)

如果對法源依據,想更加了解,也可以參考資策會科技法律研究所孫鈺婷專案經理的報導:
相關連結:https://stli.iii.org.tw/article-detail.aspx?no=55&tp=3&i=158&d=8261 ),該篇報導下方有個附件,會轉到台灣商品檢測驗證中心,裡面有很詳細的申請流程及費用,皆可做為參考之用。

保險業因為其行業的特殊性,因此就會受到金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法第10條第1項第5款的限制(如下所示),南山境界計畫由於在新舊系統的交換時,在測試之時,沒有依該法的要求,將個人資料做隱蔽,就直接在測試系統上面進行測試,所以有此違法事項出現,不過,這種新舊系統交接所犯的錯誤,應該之後會常見,這就只好等重複開罰之後,大家才會了解測試歸測試,就算測試還是要把個資屏蔽起來的

https://ithelp.ithome.com.tw/upload/images/20201010/20107482pxEHkdnPfn.jpg

南山在此案,總共被罰了240萬元,其中(二)~(三)項一共被罰了180萬,其餘為糾正限期改善。


上一篇
DAY 26 第二十四件裁罰案(1) 金管會保險局裁罰對象:南山人壽保險股份有限公司 裁罰日期:108/5/17
下一篇
DAY 28 第二十五件裁罰案 金管會銀行局裁罰對象:財金資訊股份有限公司 裁罰日期:108/1/11
系列文
資安裁罰案件分析30

尚未有邦友留言

立即登入留言