外洩 1.4 萬客戶個資！上海商銀遭金管會重罰千萬、並提出 4 大要求！背後發生什麼事？

金管會今（28）日指出，自 2022 年 9 月至 2023 年 7 月間，陸續接獲民眾反映上海商業儲蓄銀行的資安問題，查核結果顯示，受影響戶數達 1 萬 4000 戶，顯示上海商銀對客戶資料保密及資訊安全有 未完善建立 及 未確實執行 內部控制制度之情事，才會導致客戶資料外洩。

公布先前的查核結果，金管會認為上海商銀對客戶資料的保密及內部資安控制未確實執行，因此裁罰上海商銀共新台幣 1000 萬元的罰鍰。

上海商銀內部 4 大疏失

未完善建立內部控制制度：

1. 未訂定妥適個人電腦管理者權限規範： 該行遲至案發後始明定每半年變更個人電腦管理者權限密碼， 長期未辦理密碼變更作業，致客戶資料有外洩風險。

2. 未訂定完善可攜式設備管理規範： 有權使用可攜式設備之人員得使用可攜式設備將行內資料攜出，且無妥適之讀取控管措施，不利資訊安全保護。

未確實執行內部控制制度：

１、內部報表系統 未依規範記錄個人資料使用情況、留存軌跡資料或相關證據， 因此在不利個人資料外洩時，追蹤個人資料使用狀況，並影響查核期程。

２、該行未落實執行內部規範， 作業系統上線前及更新時，未能測試出資安監控軟體漏洞， 並確認其於工作站之執行情形，致未發現該軟體有未能正常啟動之情形，造成無法控管及記錄可攜式設備資料之存取，影響查核時效，且無法判斷實際損害情形，並不利後續調查程序。

金管會對上海商銀提出 4 點監理要求：

1. 上海商銀需全面檢討本案所涉當責人員及主管責任，懲處程度應與所負責任相當。
2. 上海商銀應盤點行內涉及個人資料之各類電腦系統，確認是否建置留存個人資料使用稽核軌跡，以及要清查全行行員查詢個人資料相關權限，是否符合最小化權限原則，並應定期辦理檢視權限作業。
3. 上海商銀需建置各類應用系統測試稽核機制、權限範圍內不正常查詢以及下載情形監控的分析機制。
4. 請上海商銀充實稽核內部人員的資訊系統稽核能力，並委託會計師辦理全行個人資料保護專案查核。

資料來源：金管會