宏泰人壽保險股份有限公司辦理保險業務,違反保險法及個人資料保護法相關規定,依保險法第171條之1第4項及第5項規定核處罰鍰新臺幣共420萬元整,並依同法第149條第1項規定核處1項限期1個月改善及1項糾正,暨依個人資料保護法第48條規定,核處1項限期1個月改正。
2022-12-29
一、裁罰時間:111年12月29日
二、受處分人:宏泰人壽保險股份有限公司
三、營利事業統一編號:略
四、地址:略
五、代表人或管理人姓名:魯○○
六、地址:略
七、主旨:有關本會對貴公司一般業務檢查報告(報告編號:110F101、108F136檢查意見二(三))所列缺失事項,核有違反保險法及個人資料保護法相關規定,依保險法第171條之1第4項及第5項規定核處罰鍰新臺幣(下同)共420萬元整,並依同法第149條第1項規定予以1項限期1個月改善、1項糾正,暨依個人資料保護法第48條規定核處限期1個月改正。
八、事實:
(一)貴公司不動產作業流程、工程預算管理、不動產系統資訊安全及委由實質利害關係人代銷建案、不動產開發作業,有下列缺失事項:
1、辦理不動產作業之簽核流程,有先以系統取號備用而未留存修改主旨紀錄、案件簽核過程中人員皆無註明日期、有人員配合公文取號日期竄改附件日期,有未建立妥適控管機制及未落實內控規定情事。
2、辦理工程預算管理,有發包金額超出預算金額、未完成合約簽訂程序即付款予廠商,另有合約書管理作業未確實依內部規定辦理移交等情形。
3、辦理所持有海洋都心1期至3期建案銷售,委由實質利害關係人宏○建設股份有限公司(下稱宏○建設)代銷並為其建立網路專線:
(1)由宏○建設代為開立發票及處理相關帳務,又貴公司持有之其他建案,亦有由宏○建設代為開立發票,且未經適法性評估及簽核。
(2)對宏○建設連入貴公司主機之網路專線,查有未留存裝設相關簽呈紀錄、由宏○建設人員使用貴公司員工帳號、對宏○建設連入貴公司主機辦理銷售系統維護作業,未訂定規範限制或控管機制、對控管宏○建設與貴公司銷售系統主機間存取之防火牆,未定期檢視規則、由宏○建設以遠端桌面連線辦理資料登錄及報表產製等情事。
(3)就所簽訂合約對宏○建設進行之年度評估檢討,有兩年度檢附之證明文件皆相同、雙方共用之帳號未設置密碼等缺失。
4、貴公司與宏○建設簽訂合約,於107年12月至110年12月間將海洋都心1至3期建案委由宏○建設代辦業務行銷、營業售服、設計採購及工程監造等事項,並按月依宏○建設作業人數每人固定金額支付,惟貴公司所有之海洋都心3期不動產,自108年10月24日董事會報告已改以出租為主,而貴公司卻仍須依上述付款條件付款,未妥善評估服務費用是否具有實益及合理性。
5、貴公司辦理淡水區新市段147-1及148-1地號不動產開發作業,109年3月25日董事會已核定該不動產投資案件之規劃用途,惟貴公司109年11月27日向新北市政府工務局申請變更使用執照後,未再將相關規劃及可能影響提報董事會討論。
(二)貴公司辦理投資型保險商品,有就保單之連結標的先建立公司自有資金庫存,惟截至109年12月底投資型保險商品帳列公司自有資金庫存成本金額,分別占投資型保險商品總庫存成本(公司部位加保戶部位合計)新臺幣部位之55.7%及美金部位之59.4%,且公司自有資金庫存相較108年12月底增加24.8%,貴公司未針該庫存部位操作策略及風險管理建立相關控管機制,導致部位擴大且截至111年3月底該部位產生損失。
(三)貴公司108年7月至109年12月間辦理身心障礙者核保作業,有以被保險人屬智能障礙者為再保手冊所列不保者為由而不同意承保。
(四)貴公司電子商務系統之安全設計,網路投保系統之會員資料以明碼完整顯示,以及保單查詢系統之保單基本資料,要保人、被保險人均以明碼完整顯示。
(五)貴公司法務暨法令遵循部門對不動產部門會辦公文,有未落實其管理職責並向高階管理階層報告情事。
(六)貴公司辦理投資業務,有下列欠妥事項:
1、貴公司證券投資部辦理國內外股權投資,於109年2月21日至109年3月10日短期間內大幅增加投資部位,致有部位超逾所訂投資成本配置額度及風險值超逾控管限額之情事,且致股價下跌後產生大幅虧損,並就各月份是否超逾投資限額並無相關事中及事後控管機制。
2、貴公司基準日(109年12月31日)投資達○財務顧問公司募集管理之創投公司合計16.2億元,未對該等創投公司投資部位是否與投資計畫相符進行分析及揭露。
(七)貴公司辦理防制洗錢及打擊資恐檢核作業,與他公司簽約防制洗錢及打擊資恐之姓名及名稱檢核系統使用服務,查有定期將保戶資料上傳至雲端檢核,惟事前未評估簽約之公司是否符合我國對個人資料保護相關規定,且合約內亦未列有簽約之公司應符合我方對保戶資料保密之相關條款。
(八)貴公司稽核單位辦理不動產業務查核,對不動產工程管理未落實辦理查核或納入查核並提出改善建議,如未依不動產部門規劃銷售及出租目標辦理查核、就本會缺失改善審核請稽核單位建檔追蹤事項,有未納入稽核報告辦理追蹤。
(九)貴公司辦理資安業務,有下列欠妥事項:
1、貴公司辦理資安監控服務,僅統計各類事件之筆數,未分析原因並研擬因應對策。
2、貴公司辦理弱點掃描及滲透測試作業,未明確規範高風險等級以外弱點之修補完成期限,未訂定滲透測試作業規範,明訂範圍、頻率及修補期限。
3、貴公司Windows伺服器主機帳戶鎖定時間設定為10分鐘自動解鎖,不利發現系統異常使用情形。
4、貴公司辦理應用程式開發作業,網路投保系統委由廠商辦理開發及維護作業,及所簽訂合約書,未訂定程式原始碼掃描相關作業規範,明定依風險等級訂定修補時程、範圍,有失欠妥。
(十)貴公司辦理電子商務業務,有下列欠妥事項:
1、貴公司電子商務系統尚未建置同地及異地備援機制,亦未擬具應變計畫納入每年災難復原演練。
2、貴公司電子商務系統之安全設計,有使用者密碼設計安全強度不足、應用程式與資料庫連線密碼以明碼儲存於web.config檔內等情事。
3、貴公司辦理網路投保或網路服務,有關對同一保險業務員招攬之保件共用同一IP位址進行之交易,於110年1月11日方就109年7月至109年9月有同一IP位址辦理交易案件,以信函通知方式提醒保戶。
(十一)貴公司辦理新契約核保作業,未告知保戶尚有同商品舊保單可辦理復效,即予以承保新保單。
九、理由及法令依據:
(一)上述事實(一)1、2、3(1)、(2)及5,貴公司不動產作業缺失,涵蓋事前簽核、事中執行及事後管理等作業面,顯示貴公司內部控制制度未能發揮作用,違規事實明確,經核違反保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法 」第5條第1項第4款、第8款及第6條第1項第4款、第5款、第6款、第8款、第9款、第13款規定,依保險法第171條之1第4項規定,核處罰鍰240萬元。
(二)上述事實(二),貴公司辦理投資型保險商品,對於持有部位未建立相關控管機制,致部位擴大並衍生損失,違規事實明確, 經核違反保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第5條第1項第4款規定,依保險法第171條之1第4項規定,核處罰鍰120萬元,併依同法第149條第1項規定,核處限期1個月改善。
(三)上述事實(三),貴公司辦理身心障礙者核保作業,違規事實明確,經核違反保險法第148條之3第2項授權訂定之「保險業招攬及核保理賠辦法」第7條第1項第11款及第17條規定,依保險法第171條之1第5項規定,核處罰鍰60萬元。
(四)上述事實(四),貴公司電子商務系統之安全設計有欠妥事項,違規事實明確,違反「個人資料保護法」第27條第1項規定,依個人資料保護法第48條規定,核處限期1個月改正。
(五)以下事項違失事實明確,核有礙健全經營之虞,依保險法第149條第1項規定,予以糾正:
1、上述事實(一)3(3),貴公司違反保險業作業委託他人處理應注意事項第 5 點第 1 項第1 款及第 2 款規定。
2、上述事實(一)4,貴公司未妥善評估服務費用是否具有實益及合理性。
3、上述事實(六),貴公司辦理投資業務有欠妥事項。
4、上述事實(七),貴公司辦理防制洗錢及打擊資恐檢核作業,有不利保戶個人資料安全維護。
5、上述事實(八),貴公司稽核單位辦理不動產業務查核有欠妥事項。
6、上述事實(九),貴公司辦理資安業務有欠妥事項。
7、上述事實(十),貴公司辦理電子商業業務有欠妥事項。
8、上述事實(十一),貴公司辦理新契約核保作業有欠妥事項。
二、受處分人:宏泰人壽保險股份有限公司
三、營利事業統一編號:略
四、地址:略
五、代表人或管理人姓名:魯○○
六、地址:略
七、主旨:有關本會對貴公司一般業務檢查報告(報告編號:110F101、108F136檢查意見二(三))所列缺失事項,核有違反保險法及個人資料保護法相關規定,依保險法第171條之1第4項及第5項規定核處罰鍰新臺幣(下同)共420萬元整,並依同法第149條第1項規定予以1項限期1個月改善、1項糾正,暨依個人資料保護法第48條規定核處限期1個月改正。
八、事實:
(一)貴公司不動產作業流程、工程預算管理、不動產系統資訊安全及委由實質利害關係人代銷建案、不動產開發作業,有下列缺失事項:
1、辦理不動產作業之簽核流程,有先以系統取號備用而未留存修改主旨紀錄、案件簽核過程中人員皆無註明日期、有人員配合公文取號日期竄改附件日期,有未建立妥適控管機制及未落實內控規定情事。
2、辦理工程預算管理,有發包金額超出預算金額、未完成合約簽訂程序即付款予廠商,另有合約書管理作業未確實依內部規定辦理移交等情形。
3、辦理所持有海洋都心1期至3期建案銷售,委由實質利害關係人宏○建設股份有限公司(下稱宏○建設)代銷並為其建立網路專線:
(1)由宏○建設代為開立發票及處理相關帳務,又貴公司持有之其他建案,亦有由宏○建設代為開立發票,且未經適法性評估及簽核。
(2)對宏○建設連入貴公司主機之網路專線,查有未留存裝設相關簽呈紀錄、由宏○建設人員使用貴公司員工帳號、對宏○建設連入貴公司主機辦理銷售系統維護作業,未訂定規範限制或控管機制、對控管宏○建設與貴公司銷售系統主機間存取之防火牆,未定期檢視規則、由宏○建設以遠端桌面連線辦理資料登錄及報表產製等情事。
(3)就所簽訂合約對宏○建設進行之年度評估檢討,有兩年度檢附之證明文件皆相同、雙方共用之帳號未設置密碼等缺失。
4、貴公司與宏○建設簽訂合約,於107年12月至110年12月間將海洋都心1至3期建案委由宏○建設代辦業務行銷、營業售服、設計採購及工程監造等事項,並按月依宏○建設作業人數每人固定金額支付,惟貴公司所有之海洋都心3期不動產,自108年10月24日董事會報告已改以出租為主,而貴公司卻仍須依上述付款條件付款,未妥善評估服務費用是否具有實益及合理性。
5、貴公司辦理淡水區新市段147-1及148-1地號不動產開發作業,109年3月25日董事會已核定該不動產投資案件之規劃用途,惟貴公司109年11月27日向新北市政府工務局申請變更使用執照後,未再將相關規劃及可能影響提報董事會討論。
(二)貴公司辦理投資型保險商品,有就保單之連結標的先建立公司自有資金庫存,惟截至109年12月底投資型保險商品帳列公司自有資金庫存成本金額,分別占投資型保險商品總庫存成本(公司部位加保戶部位合計)新臺幣部位之55.7%及美金部位之59.4%,且公司自有資金庫存相較108年12月底增加24.8%,貴公司未針該庫存部位操作策略及風險管理建立相關控管機制,導致部位擴大且截至111年3月底該部位產生損失。
(三)貴公司108年7月至109年12月間辦理身心障礙者核保作業,有以被保險人屬智能障礙者為再保手冊所列不保者為由而不同意承保。
(四)貴公司電子商務系統之安全設計,網路投保系統之會員資料以明碼完整顯示,以及保單查詢系統之保單基本資料,要保人、被保險人均以明碼完整顯示。
(五)貴公司法務暨法令遵循部門對不動產部門會辦公文,有未落實其管理職責並向高階管理階層報告情事。
(六)貴公司辦理投資業務,有下列欠妥事項:
1、貴公司證券投資部辦理國內外股權投資,於109年2月21日至109年3月10日短期間內大幅增加投資部位,致有部位超逾所訂投資成本配置額度及風險值超逾控管限額之情事,且致股價下跌後產生大幅虧損,並就各月份是否超逾投資限額並無相關事中及事後控管機制。
2、貴公司基準日(109年12月31日)投資達○財務顧問公司募集管理之創投公司合計16.2億元,未對該等創投公司投資部位是否與投資計畫相符進行分析及揭露。
(七)貴公司辦理防制洗錢及打擊資恐檢核作業,與他公司簽約防制洗錢及打擊資恐之姓名及名稱檢核系統使用服務,查有定期將保戶資料上傳至雲端檢核,惟事前未評估簽約之公司是否符合我國對個人資料保護相關規定,且合約內亦未列有簽約之公司應符合我方對保戶資料保密之相關條款。
(八)貴公司稽核單位辦理不動產業務查核,對不動產工程管理未落實辦理查核或納入查核並提出改善建議,如未依不動產部門規劃銷售及出租目標辦理查核、就本會缺失改善審核請稽核單位建檔追蹤事項,有未納入稽核報告辦理追蹤。
(九)貴公司辦理資安業務,有下列欠妥事項:
1、貴公司辦理資安監控服務,僅統計各類事件之筆數,未分析原因並研擬因應對策。
2、貴公司辦理弱點掃描及滲透測試作業,未明確規範高風險等級以外弱點之修補完成期限,未訂定滲透測試作業規範,明訂範圍、頻率及修補期限。
3、貴公司Windows伺服器主機帳戶鎖定時間設定為10分鐘自動解鎖,不利發現系統異常使用情形。
4、貴公司辦理應用程式開發作業,網路投保系統委由廠商辦理開發及維護作業,及所簽訂合約書,未訂定程式原始碼掃描相關作業規範,明定依風險等級訂定修補時程、範圍,有失欠妥。
(十)貴公司辦理電子商務業務,有下列欠妥事項:
1、貴公司電子商務系統尚未建置同地及異地備援機制,亦未擬具應變計畫納入每年災難復原演練。
2、貴公司電子商務系統之安全設計,有使用者密碼設計安全強度不足、應用程式與資料庫連線密碼以明碼儲存於web.config檔內等情事。
3、貴公司辦理網路投保或網路服務,有關對同一保險業務員招攬之保件共用同一IP位址進行之交易,於110年1月11日方就109年7月至109年9月有同一IP位址辦理交易案件,以信函通知方式提醒保戶。
(十一)貴公司辦理新契約核保作業,未告知保戶尚有同商品舊保單可辦理復效,即予以承保新保單。
九、理由及法令依據:
(一)上述事實(一)1、2、3(1)、(2)及5,貴公司不動產作業缺失,涵蓋事前簽核、事中執行及事後管理等作業面,顯示貴公司內部控制制度未能發揮作用,違規事實明確,經核違反保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法 」第5條第1項第4款、第8款及第6條第1項第4款、第5款、第6款、第8款、第9款、第13款規定,依保險法第171條之1第4項規定,核處罰鍰240萬元。
(二)上述事實(二),貴公司辦理投資型保險商品,對於持有部位未建立相關控管機制,致部位擴大並衍生損失,違規事實明確, 經核違反保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第5條第1項第4款規定,依保險法第171條之1第4項規定,核處罰鍰120萬元,併依同法第149條第1項規定,核處限期1個月改善。
(三)上述事實(三),貴公司辦理身心障礙者核保作業,違規事實明確,經核違反保險法第148條之3第2項授權訂定之「保險業招攬及核保理賠辦法」第7條第1項第11款及第17條規定,依保險法第171條之1第5項規定,核處罰鍰60萬元。
(四)上述事實(四),貴公司電子商務系統之安全設計有欠妥事項,違規事實明確,違反「個人資料保護法」第27條第1項規定,依個人資料保護法第48條規定,核處限期1個月改正。
(五)以下事項違失事實明確,核有礙健全經營之虞,依保險法第149條第1項規定,予以糾正:
1、上述事實(一)3(3),貴公司違反保險業作業委託他人處理應注意事項第 5 點第 1 項第1 款及第 2 款規定。
2、上述事實(一)4,貴公司未妥善評估服務費用是否具有實益及合理性。
3、上述事實(六),貴公司辦理投資業務有欠妥事項。
4、上述事實(七),貴公司辦理防制洗錢及打擊資恐檢核作業,有不利保戶個人資料安全維護。
5、上述事實(八),貴公司稽核單位辦理不動產業務查核有欠妥事項。
6、上述事實(九),貴公司辦理資安業務有欠妥事項。
7、上述事實(十),貴公司辦理電子商業業務有欠妥事項。
8、上述事實(十一),貴公司辦理新契約核保作業有欠妥事項。
瀏覽人次:
9015
更新日期:
2022-12-30