遠雄人壽保險事業股份有限公司辦理保險業務,核有違反保險法及個人資料保護法相關規定,核有違反保險法及個人資料保護法相關規定(詳一般業務檢查報告,編號:109F145),依保險法第171條之1第4項及第149條第1項規定分別核處罰鍰新臺幣120萬元整及7項糾正,併依個人資料保護法第48條第4款規定核處限期一個月內改正。
2022-03-02
一、裁罰時間:111年3月2日
二、受裁罰之對象:遠雄人壽保險事業股份有限公司
三、事實:
(一)貴公司會計及採購等內部控制制度,經查有下列違失事項(如檢查意見二(一)1及3):
1、歷年舉辦無須收費之業務員教育訓練課程或各營業處之競賽活動,經查有主管職權行使逾越公司內部控制制度之情事:
(1)特定部門擅自以公司名義向業務員收取訓練費用或於競賽活動向各營業處主管收取競賽費用並自行製發收據情事。
(2)上開收取之課程費用,未依訓練公告支用於住宿、餐食及講師費用,卻存入科主管個人帳戶,並依主管指示記載收支帳務,107年5月前之相關收支皆未有記載並留存憑證。
(3)特定部門報支教育訓練費用資料有未完整,致會計部核銷費用時未能發現該部門有以公司名義向業務員收取訓練費用情事。
(4)依特定部門自設帳務記載多支用於業務員獎勵金或競賽獎金,係逕以公司名義設計並發布。
2、貴公司辦理業務員競賽得獎人員國內外旅遊探勘作業未有相關內控作業程序,致有作業單位逕洽旅行社辦理並商定費用支付方式者,另108年10月有未依出勤管理相關規定申請國外出差者。
(二)貴公司辦理投資國內、外股票交易授權作業,有權交易人員離職,惟提供交易對手之國外股票有權交易人員名單有未更新之情形,核與所訂內部規範不符(如檢查意見三(六))。
(三)貴公司108年9月、109年4月及9月辦理股票投資資產池之定期評估作業,對不符合篩選條件之庫存標的,未依內部規定評估基本面有無重大變動,逕保留於資產池內(如檢查意見三(七))。
(四)貴公司108年5月辦理外匯衍生性金融商品交易對手交易限額檢討作業,未提報風險管理委員會核准實施,核與所訂內部規範不符(如檢查意見三(八)) 。
(五)貴公司有對外服務網站之網路投保系統之會員資料及保戶專區之保單查詢,資料顯示涉及個人資料,未評估其妥適性並予以隱碼(如檢查意見四(十七) 1)。
(六)貴公司對於開放式資料庫稽核軌跡已建立控管機制,惟所收容之範圍有欠完整,部分存放保戶個資之資料庫有未納入者(如檢查意見四(二十) )。
(七)貴公司就有關民眾指陳公司主管有私設帳戶收受業務員訓練費用等不當情事一案,辦理專案查核,嗣於出具稽核報告,惟稽核單位未專案提報董事會討論(如檢查意見二(一)2(2))。
(八)貴公司辦理網路投保及網路保險服務之監控作業,有不同客戶以同一手機號碼及同一IP位址回傳OTP確認碼等情事,惟迄109年12月尚未依「保險業保險經紀人公司及保險代理人公司防範保險業務員挪用侵占保戶款項相關內控作業規定」第6條第2款規定辦理,定期產出異常檢核報表辦理檢核(如檢查意見二(二))。
(九)貴公司於109年5月建立客戶投保前三個月內是否辦理保單借款及解約檢核機制,惟檢核出之保件中對業務員招攬報告書填載內容與事實不符案件,有未再進行瞭解者,不利檢核目的之落實,(如檢查意見三(二))。
(十)貴公司109年5月辦理新契約核保作業,對於保戶尚有可辦理復效之同商品舊保單,有未經充分告知保戶相關權益,即予以承保新保單情事(如檢查意見三(三))。
(十一)貴公司109年4月核貸○○實業中期擔保放款10億元,擔保品產權型態為持分土地,由借戶委託鑑價公司辦理估價,惟有要求以完整產權型態作價格評估,且未於徵信報告敘明以完整產權型態作價格評估之合理性(如檢查意見三(十一))。
(十二)貴公司風險管理相關內部規範皆以作業準則訂定,惟未明確訂定各項內部規範之核決層級(如檢查意見四(一) 1)。
(十三)貴公司108年11月對檢調機關因調查防制洗錢或偵辦貪瀆案件之需,來函調閱保戶相關投保資料,僅依檢調要求事項提供相關資料,惟未對該保戶保單資料進行審視,以評估是否有疑似洗錢或資恐交易及調整其洗錢風險等級(如檢查意見四(七))。
(十四)貴公司109年9月及10月受理鉅額保險費之投保案件,有要(被)保人高齡且投保時保險費相當於保險金額之情事,惟未瞭解保戶稅務犯罪洗錢風險及敘明風險評估結果者(如檢查意見四(八))。
(十五)貴公司網路環境安全管理作業,有對內部網段之使用未妥適區隔,不利確保網路連線安全及防止未經授權之系統存取(如檢查意見四(九))。
(十六)貴公司辦理防火牆管理作業,有允許使用者從辦公區以遠端桌面連線至正式區主機等情事,惟未評估其安全性及必要性(如檢查意見四(十))。
(十七)貴公司雖使用防火牆建置入侵防禦系統,惟僅統計各類事件之筆數,未分析原因並研擬因應對策(如檢查意見四(十一))。
(十八)貴公司雖建置有「資訊日誌管理系統」蒐集伺服器系統之日誌,惟查系統日誌收容範圍有欠完整者(如檢查意見四(十二) )。
(十九)貴公司弱點掃描作業之掃描範圍欠完整,不利資訊安全之控管(如檢查意見四(十三) )。
(二十)貴公司雖已定期辦理電子郵件社交工程演練作業,惟查辦理109年度電子郵件社交工程演練結果(複測),有部門惡意郵件開啟或點閱率偏高之情形(如檢查意見四(十四))。
(二十一)貴公司有重要應用系統或資料庫主機之作業系統軟體版本,業經廠商公告停止支援服務,未有系統升級或汰換前之補償性措施(如檢查意見四(十六)) 。
(二十二)貴公司提供對外服務之網頁應用程式,未建立偵測釣魚網站機制及後續評估處理程序(如檢查意見四(十七)3)。
(二十三)貴公司對於特權帳號管理有欠妥適,且每週由資安管理科辦理特權帳號使用覆核作業有欠確實之情形(如檢查意見四(十九))。
(二十四)貴公司對物聯網設備弱點掃描結果所發現弱點之後續修補作業欠妥者,且未與廠商簽訂物聯網設備資訊安全相關協議,核與所訂內部規範不符(如面改事項二十七(二)及(四) )。
四、理由及法令依據:
(一)上述事實一,貴公司會計及採購內部控制制度有欠周延,且未落實執行出勤管理之內部控制制度,違規事實明確,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第5條第1項第8款規定不符,依保險法第171條之1第4項規定,核處罰鍰60萬元整。
(二)上述事實二、三及四,貴公司未落實執行資金運用作業內部控制制度,違規事實明確,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第5條第1項第4款規定不符,依保險法第171條之1第4項規定,核處罰鍰60萬元整。
(三)上述事實五及六,貴公司對外服務網站之個人資料未予以隱碼,且部分保戶個資之資料庫未收容於稽核軌跡,違規事實明確,核與「個人資料保護法」第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第10條第1項第2款及第14條第1項規定不符,依「個人資料保護法」第48條第4款規定,核處限期一個月內改正。
(四)下列事項,依保險法第149條第1項規定,分別予以1項糾正,合計予以7項糾正:
1、上述事實七,貴公司出具稽核報告,查貴公司主管確有不當行為,惟稽核單位未專案提報董事會討論,不利落實行為時「保險業負責人應具備資格條件準則」第10條規定,核有有礙健全經營之虞。
2、上述事實八及九,貴公司未定期產出IP位址異常檢核報,及未瞭解業務員招攬報告書填載內容與事實不符案件,不利防範保險業務員挪用侵占保戶款項,不利落實誠實填寫招攬報告書之規定,核有有礙健全經營之虞。
3、上述事實十,貴公司辦理新契約核保作業,未告知保戶尚有可辦理復效之同商品舊保單,即予以承保新保單,不利消費者權益之保障,核有有礙健全經營之虞。
4、上述事實十一,貴公司辦理中期擔保放款之擔保品產權型態為持分土地,鑑價報告以完整產權型態作價格評估,惟未於徵信報告敘明合理性,不利於擔保品鑑價之評估,核有有礙健全經營之虞。
5、上述事實十二,貴公司風險管理相關內部規範未明確訂定各項內部規範之核決層級,不利風險管理機制之有效運作,核有有礙健全經營之虞。
6、上述事實十三及十四,貴公司經檢調機關調閱保戶投保資料及辦理高齡且鉅額投保案件,未評估是否有疑似洗錢或資恐交易之虞,不利洗錢及資恐防制,核有有礙健全經營之虞。
7、上述事實十五至二十四,貴公司辦理資訊安全控管相關作業有欠妥適,不利於資訊安全控管,核有有礙健全經營之虞。
五、繳款方式:
(一)繳款期限:自本處分送達之次日起10日內繳納。
(二)請依本會保險局檢附之繳款單注意事項辦理繳納。
六、注意事項:
(一)受處分人如不服本處分,應於本處分送達之次日起30日內,依訴願法第58條第1項規定,繕具訴願書經由本會(新北市板橋區縣民大道二段7號18樓)向行政院提起訴願。惟依訴願法第93條第1項規定,除法律另有規定外,訴願之提起並不停止本處分之執行,受處分人仍應繳納罰鍰。
(二)受處分人如逾本處分所定繳款期限不繳納罰鍰者,即依行政執行法第4條第1項但書規定,移送法務部行政執行署各分署辦理行政執行。
二、受裁罰之對象:遠雄人壽保險事業股份有限公司
三、事實:
(一)貴公司會計及採購等內部控制制度,經查有下列違失事項(如檢查意見二(一)1及3):
1、歷年舉辦無須收費之業務員教育訓練課程或各營業處之競賽活動,經查有主管職權行使逾越公司內部控制制度之情事:
(1)特定部門擅自以公司名義向業務員收取訓練費用或於競賽活動向各營業處主管收取競賽費用並自行製發收據情事。
(2)上開收取之課程費用,未依訓練公告支用於住宿、餐食及講師費用,卻存入科主管個人帳戶,並依主管指示記載收支帳務,107年5月前之相關收支皆未有記載並留存憑證。
(3)特定部門報支教育訓練費用資料有未完整,致會計部核銷費用時未能發現該部門有以公司名義向業務員收取訓練費用情事。
(4)依特定部門自設帳務記載多支用於業務員獎勵金或競賽獎金,係逕以公司名義設計並發布。
2、貴公司辦理業務員競賽得獎人員國內外旅遊探勘作業未有相關內控作業程序,致有作業單位逕洽旅行社辦理並商定費用支付方式者,另108年10月有未依出勤管理相關規定申請國外出差者。
(二)貴公司辦理投資國內、外股票交易授權作業,有權交易人員離職,惟提供交易對手之國外股票有權交易人員名單有未更新之情形,核與所訂內部規範不符(如檢查意見三(六))。
(三)貴公司108年9月、109年4月及9月辦理股票投資資產池之定期評估作業,對不符合篩選條件之庫存標的,未依內部規定評估基本面有無重大變動,逕保留於資產池內(如檢查意見三(七))。
(四)貴公司108年5月辦理外匯衍生性金融商品交易對手交易限額檢討作業,未提報風險管理委員會核准實施,核與所訂內部規範不符(如檢查意見三(八)) 。
(五)貴公司有對外服務網站之網路投保系統之會員資料及保戶專區之保單查詢,資料顯示涉及個人資料,未評估其妥適性並予以隱碼(如檢查意見四(十七) 1)。
(六)貴公司對於開放式資料庫稽核軌跡已建立控管機制,惟所收容之範圍有欠完整,部分存放保戶個資之資料庫有未納入者(如檢查意見四(二十) )。
(七)貴公司就有關民眾指陳公司主管有私設帳戶收受業務員訓練費用等不當情事一案,辦理專案查核,嗣於出具稽核報告,惟稽核單位未專案提報董事會討論(如檢查意見二(一)2(2))。
(八)貴公司辦理網路投保及網路保險服務之監控作業,有不同客戶以同一手機號碼及同一IP位址回傳OTP確認碼等情事,惟迄109年12月尚未依「保險業保險經紀人公司及保險代理人公司防範保險業務員挪用侵占保戶款項相關內控作業規定」第6條第2款規定辦理,定期產出異常檢核報表辦理檢核(如檢查意見二(二))。
(九)貴公司於109年5月建立客戶投保前三個月內是否辦理保單借款及解約檢核機制,惟檢核出之保件中對業務員招攬報告書填載內容與事實不符案件,有未再進行瞭解者,不利檢核目的之落實,(如檢查意見三(二))。
(十)貴公司109年5月辦理新契約核保作業,對於保戶尚有可辦理復效之同商品舊保單,有未經充分告知保戶相關權益,即予以承保新保單情事(如檢查意見三(三))。
(十一)貴公司109年4月核貸○○實業中期擔保放款10億元,擔保品產權型態為持分土地,由借戶委託鑑價公司辦理估價,惟有要求以完整產權型態作價格評估,且未於徵信報告敘明以完整產權型態作價格評估之合理性(如檢查意見三(十一))。
(十二)貴公司風險管理相關內部規範皆以作業準則訂定,惟未明確訂定各項內部規範之核決層級(如檢查意見四(一) 1)。
(十三)貴公司108年11月對檢調機關因調查防制洗錢或偵辦貪瀆案件之需,來函調閱保戶相關投保資料,僅依檢調要求事項提供相關資料,惟未對該保戶保單資料進行審視,以評估是否有疑似洗錢或資恐交易及調整其洗錢風險等級(如檢查意見四(七))。
(十四)貴公司109年9月及10月受理鉅額保險費之投保案件,有要(被)保人高齡且投保時保險費相當於保險金額之情事,惟未瞭解保戶稅務犯罪洗錢風險及敘明風險評估結果者(如檢查意見四(八))。
(十五)貴公司網路環境安全管理作業,有對內部網段之使用未妥適區隔,不利確保網路連線安全及防止未經授權之系統存取(如檢查意見四(九))。
(十六)貴公司辦理防火牆管理作業,有允許使用者從辦公區以遠端桌面連線至正式區主機等情事,惟未評估其安全性及必要性(如檢查意見四(十))。
(十七)貴公司雖使用防火牆建置入侵防禦系統,惟僅統計各類事件之筆數,未分析原因並研擬因應對策(如檢查意見四(十一))。
(十八)貴公司雖建置有「資訊日誌管理系統」蒐集伺服器系統之日誌,惟查系統日誌收容範圍有欠完整者(如檢查意見四(十二) )。
(十九)貴公司弱點掃描作業之掃描範圍欠完整,不利資訊安全之控管(如檢查意見四(十三) )。
(二十)貴公司雖已定期辦理電子郵件社交工程演練作業,惟查辦理109年度電子郵件社交工程演練結果(複測),有部門惡意郵件開啟或點閱率偏高之情形(如檢查意見四(十四))。
(二十一)貴公司有重要應用系統或資料庫主機之作業系統軟體版本,業經廠商公告停止支援服務,未有系統升級或汰換前之補償性措施(如檢查意見四(十六)) 。
(二十二)貴公司提供對外服務之網頁應用程式,未建立偵測釣魚網站機制及後續評估處理程序(如檢查意見四(十七)3)。
(二十三)貴公司對於特權帳號管理有欠妥適,且每週由資安管理科辦理特權帳號使用覆核作業有欠確實之情形(如檢查意見四(十九))。
(二十四)貴公司對物聯網設備弱點掃描結果所發現弱點之後續修補作業欠妥者,且未與廠商簽訂物聯網設備資訊安全相關協議,核與所訂內部規範不符(如面改事項二十七(二)及(四) )。
四、理由及法令依據:
(一)上述事實一,貴公司會計及採購內部控制制度有欠周延,且未落實執行出勤管理之內部控制制度,違規事實明確,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第5條第1項第8款規定不符,依保險法第171條之1第4項規定,核處罰鍰60萬元整。
(二)上述事實二、三及四,貴公司未落實執行資金運用作業內部控制制度,違規事實明確,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第5條第1項第4款規定不符,依保險法第171條之1第4項規定,核處罰鍰60萬元整。
(三)上述事實五及六,貴公司對外服務網站之個人資料未予以隱碼,且部分保戶個資之資料庫未收容於稽核軌跡,違規事實明確,核與「個人資料保護法」第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第10條第1項第2款及第14條第1項規定不符,依「個人資料保護法」第48條第4款規定,核處限期一個月內改正。
(四)下列事項,依保險法第149條第1項規定,分別予以1項糾正,合計予以7項糾正:
1、上述事實七,貴公司出具稽核報告,查貴公司主管確有不當行為,惟稽核單位未專案提報董事會討論,不利落實行為時「保險業負責人應具備資格條件準則」第10條規定,核有有礙健全經營之虞。
2、上述事實八及九,貴公司未定期產出IP位址異常檢核報,及未瞭解業務員招攬報告書填載內容與事實不符案件,不利防範保險業務員挪用侵占保戶款項,不利落實誠實填寫招攬報告書之規定,核有有礙健全經營之虞。
3、上述事實十,貴公司辦理新契約核保作業,未告知保戶尚有可辦理復效之同商品舊保單,即予以承保新保單,不利消費者權益之保障,核有有礙健全經營之虞。
4、上述事實十一,貴公司辦理中期擔保放款之擔保品產權型態為持分土地,鑑價報告以完整產權型態作價格評估,惟未於徵信報告敘明合理性,不利於擔保品鑑價之評估,核有有礙健全經營之虞。
5、上述事實十二,貴公司風險管理相關內部規範未明確訂定各項內部規範之核決層級,不利風險管理機制之有效運作,核有有礙健全經營之虞。
6、上述事實十三及十四,貴公司經檢調機關調閱保戶投保資料及辦理高齡且鉅額投保案件,未評估是否有疑似洗錢或資恐交易之虞,不利洗錢及資恐防制,核有有礙健全經營之虞。
7、上述事實十五至二十四,貴公司辦理資訊安全控管相關作業有欠妥適,不利於資訊安全控管,核有有礙健全經營之虞。
五、繳款方式:
(一)繳款期限:自本處分送達之次日起10日內繳納。
(二)請依本會保險局檢附之繳款單注意事項辦理繳納。
六、注意事項:
(一)受處分人如不服本處分,應於本處分送達之次日起30日內,依訴願法第58條第1項規定,繕具訴願書經由本會(新北市板橋區縣民大道二段7號18樓)向行政院提起訴願。惟依訴願法第93條第1項規定,除法律另有規定外,訴願之提起並不停止本處分之執行,受處分人仍應繳納罰鍰。
(二)受處分人如逾本處分所定繳款期限不繳納罰鍰者,即依行政執行法第4條第1項但書規定,移送法務部行政執行署各分署辦理行政執行。
瀏覽人次:
13418
更新日期:
2022-03-02