新光人壽保險股份有限公司辦理保險業務,核有違反保險法及個人資料保護法相關規定,依保險法第171條之1第4項規定核處罰鍰新臺幣60萬元整,並依同法第149條第1項規定予以2項糾正,及依個人資料保護法第48條第4款規定,命貴公司於裁處書送達翌日起1個月內改正。
2022-09-07
一、裁罰時間:111年9月7日
二、受裁罰之對象:新光人壽保險股份有限公司
三、營利事業統一編號:略
四、地址:略
五、代表人或管理人姓名:潘OO
六、地址:略
七、主旨:本會對貴公司辦理個資保護專案檢查(報告編號:110F144)所列缺失事項,核有違反保險法及個人資料保護法相關規定,依保險法第171條之1第4項規定核處罰鍰新臺幣60萬元整,並依同法第149條第1項規定予以2項糾正;及依個人資料保護法第48條第4款規定,命貴公司於裁處書送達翌日起1個月內改正。
八、事實:
(一)貴公司尚未就代管其他法律個體主機業務或非貴公司人員於內網存取行為,訂定相關控管原則及程序,且資料交換平台相關防火牆設定有過於寬鬆之情形(如面請改善事項二(二))。
(二)貴公司辦理資訊安全之相關控管機制,有下列欠妥事項:
1、經抽測個人電腦,於未開放USB讀寫權限情形下,仍可將不含個資之圖片檔案寫出至連結的手機設備,並開啟讀取;或實地測試寫入USB或透過網頁上傳特定格式檔案,系統皆未進行阻擋;實地進行超逾門檻數量之個資上傳測試,系統並未進行相關網頁阻擋(如檢查意見一(一))。
2、A系統程式館管理及程式換版作業仍由數位資訊部數據分析課之程式人員負責辦理,程式變更作業有失牽制;資料處理平台仍由數位資訊部數據分析課之程式人員負責維運,且有程式人員所持有帳號具有平台之最高權限、廠商人員帳號具有平台之最高權限或具有使用者管理權限,或連線帳號密碼係以明碼儲存等缺失(如檢查意見一(二))。
(三)外寄電子郵件之控管有下列欠妥情事(如檢查意見二):
1、將含有個資之電子郵件寄送至外部個人免費電子郵件信箱,未確認其妥適性並留存相關評估紀錄者;寄送至他人免費電子郵件信箱,對寄送對象尚未建立管控機制。
2、針對符合個資過濾阻擋條件之電子郵件,尚未建立事後抽核確認機制,並瞭解寄送對象與內容之妥適性。
(四)提供外部檔案下載之網站,尚未建立控管機制,且查有內部人員於外部執行檔案下載,未確認其妥適性並留存評估紀錄(如檢查意見三)。
九、理由及法令依據:
(一)上述事實一,貴公司未訂定相關控管原則及程序,不利權責劃分及作業遵循,且相關設定防火牆過於寬鬆,不利系統安全,違規事實明確,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第4款、第6款及第8款規定不符,依保險法171條之1第4項規定,核處罰鍰新臺幣60萬元整。
(二)上述事實二,貴公司程式變更作業有失牽制,且使用者權限管理、連線設定及軌跡留存等控管作業流程有欠妥適,違失事實明確,核有礙健全經營之虞,依保險法第149條第1項規定,核處糾正。
(三)上述事實三,外寄電子郵件之控管欠妥,不利個資之保護,違失事實明確,核有礙健全經營之虞,依保險法第149條第1項規定,核處糾正。
(四)上述事實四,提供外部檔案下載之網站缺失,不利防範個資外洩,違規事實明確,核與個人資料保護法第27條第3項授權本會訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第5條及第14條第1項規定不符,依個人資料保護法第48條第4款規定,命貴公司於處分書送達翌日起1個月內改正。
二、受裁罰之對象:新光人壽保險股份有限公司
三、營利事業統一編號:略
四、地址:略
五、代表人或管理人姓名:潘OO
六、地址:略
七、主旨:本會對貴公司辦理個資保護專案檢查(報告編號:110F144)所列缺失事項,核有違反保險法及個人資料保護法相關規定,依保險法第171條之1第4項規定核處罰鍰新臺幣60萬元整,並依同法第149條第1項規定予以2項糾正;及依個人資料保護法第48條第4款規定,命貴公司於裁處書送達翌日起1個月內改正。
八、事實:
(一)貴公司尚未就代管其他法律個體主機業務或非貴公司人員於內網存取行為,訂定相關控管原則及程序,且資料交換平台相關防火牆設定有過於寬鬆之情形(如面請改善事項二(二))。
(二)貴公司辦理資訊安全之相關控管機制,有下列欠妥事項:
1、經抽測個人電腦,於未開放USB讀寫權限情形下,仍可將不含個資之圖片檔案寫出至連結的手機設備,並開啟讀取;或實地測試寫入USB或透過網頁上傳特定格式檔案,系統皆未進行阻擋;實地進行超逾門檻數量之個資上傳測試,系統並未進行相關網頁阻擋(如檢查意見一(一))。
2、A系統程式館管理及程式換版作業仍由數位資訊部數據分析課之程式人員負責辦理,程式變更作業有失牽制;資料處理平台仍由數位資訊部數據分析課之程式人員負責維運,且有程式人員所持有帳號具有平台之最高權限、廠商人員帳號具有平台之最高權限或具有使用者管理權限,或連線帳號密碼係以明碼儲存等缺失(如檢查意見一(二))。
(三)外寄電子郵件之控管有下列欠妥情事(如檢查意見二):
1、將含有個資之電子郵件寄送至外部個人免費電子郵件信箱,未確認其妥適性並留存相關評估紀錄者;寄送至他人免費電子郵件信箱,對寄送對象尚未建立管控機制。
2、針對符合個資過濾阻擋條件之電子郵件,尚未建立事後抽核確認機制,並瞭解寄送對象與內容之妥適性。
(四)提供外部檔案下載之網站,尚未建立控管機制,且查有內部人員於外部執行檔案下載,未確認其妥適性並留存評估紀錄(如檢查意見三)。
九、理由及法令依據:
(一)上述事實一,貴公司未訂定相關控管原則及程序,不利權責劃分及作業遵循,且相關設定防火牆過於寬鬆,不利系統安全,違規事實明確,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第4款、第6款及第8款規定不符,依保險法171條之1第4項規定,核處罰鍰新臺幣60萬元整。
(二)上述事實二,貴公司程式變更作業有失牽制,且使用者權限管理、連線設定及軌跡留存等控管作業流程有欠妥適,違失事實明確,核有礙健全經營之虞,依保險法第149條第1項規定,核處糾正。
(三)上述事實三,外寄電子郵件之控管欠妥,不利個資之保護,違失事實明確,核有礙健全經營之虞,依保險法第149條第1項規定,核處糾正。
(四)上述事實四,提供外部檔案下載之網站缺失,不利防範個資外洩,違規事實明確,核與個人資料保護法第27條第3項授權本會訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第5條及第14條第1項規定不符,依個人資料保護法第48條第4款規定,命貴公司於處分書送達翌日起1個月內改正。
瀏覽人次:
9712
更新日期:
2022-09-07