金管會對上海商業儲蓄銀行客戶資料外洩所涉缺失之行政處分

金融監督管理委員會(下稱金管會)通過對上海商業儲蓄銀行(下稱上海銀行)違反法令之裁罰處分案。依上海銀行對客戶資料外洩案之查核結果顯示，該行對客戶資料保密及資訊安全有未完善建立及未確實執行內部控制制度情事，案關缺失核有違反銀行法第45條之1第1項及其授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條、第8條第1項第2款第2目規定，爰依銀行法第129條第7款規定，核處新臺幣(下同)1,000萬元罰鍰。

一、受裁罰之對象：上海銀行

二、裁罰之法令依據：銀行法第129條第7款

三、違反事實理由：本會及上海銀行於111年9月及112年5月至7月間陸續接獲民眾反映該行資訊安全問題，案經該行查核結果，顯示該行有未完善建立及未確實執行內部控制制度之情事，致客戶資料外洩，且未能保有相關軌跡。

(一)未完善建立內部控制制度：

1. 未訂定妥適個人電腦管理者權限規範：該行遲至案發後始明定每半年變更個人電腦管理者權限密碼，長期未辦理密碼變更作業，致客戶資料有外洩風險。

2. 未訂定完善可攜式設備管理規範：有權使用可攜式設備之人員得使用可攜式設備將行內資料攜出，且無妥適之讀取控管措施，不利資訊安全保護。

(二)未確實執行內部控制制度：

１、該行案關報表系統未依內部規範，記錄個人資料使用情況，留存軌跡資料或相關證據，不利個人資料外洩時，追蹤個人資料使用狀況，並影響查核期程。

２、該行未落實執行內部規範，作業系統上線前及更新時，未能測試出資安監控軟體漏洞，並確認其於工作站之執行情形，致未發現該軟體有未能正常啟動之情形，造成無法控管及記錄可攜式設備資料之存取，影響查核時效，且無法判斷實際損害情形，並不利後續調查程序。

四、裁罰結果：依銀行法第129條第7款規定，核處1,000萬元罰鍰。

五、其他監理要求事項：

(一) 請該行全面檢討本案所涉當責人員及主管責任，懲處程度應與所負責任相當。

(二) 請該行盤點全行涉及個人資料之各類電腦系統是否均建置留存個人資料使用稽核軌跡，以及清查全行行員查詢個人資料相關權限是否符合最小化權限原則，並應定期辦理檢視權限作業。

(三)請該行建置各類應用系統測試稽核機制及權限範圍內不正常查詢及下載情形監控分析機制。

(四) 請該行充實稽核人員資訊系統稽核能力，並委託會計師辦理全行個人資料保護專案查核。

金管會表示，金融機構應依「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」完善建立個人資料保護管理程序及措施，並定期檢視其妥適性及落實執行。金管會也將持續督促金融機構強化資訊安全與個人資料保護作業，以維客戶權益與個人資料安全。

聯絡單位：銀行局本國銀行組

聯絡電話：(02)8968-9681

如有任何疑問，請來信：本會民意信箱