「境界」之外！南山資安爆七大疏失 遭罰240萬

金管會今（17）日宣佈，因南山網路投保旅平險、以及系統資安政策、管理細節等有缺失，開罰240萬元。南山人壽新系統「境界」改善問題尚未解決，甚至還有可能再被開罰，未料先因資安檢查被抓到違反《個資法》等缺失，又被開罰，近兩個月來，南山已吞下3張罰單，累計罰鍰1020萬元。

據瞭解，這次開罰與「境界」改善案無關，金管會保險局列出南山人壽七大缺失，限期1個月改正，並罰240萬元。

保險局列出的缺失包括：網路投保旅平險業務，有未進行客戶姓名檢核作業情況；應用系統安全管理作業手冊及各應用系統開發手冊等規範內容有欠完備，不利確保應用程式變更的正確性及系統維運安全；委外進行資安網路監控，但有延宕情形，且沒有建立非屬重大資安事故事件處理程序，同時在行動App維護管理上，沒有在內部規範中明定定期檢測、密碼變更、備份等事項；網路投保個資沒有進行管控，竟可以複製到個人電腦；將正式作業主機的個資檔案及資料庫，複製至開發測試主機作業時，有未去識別化情形；電子商務系統涉及個資的安全設計，沒有適當的隱碼顯示。

同時，保險局認爲有4項缺失恐有礙健全經營，包括：資訊安全政策是由總經理覈定施行的「資訊安全準則」，未提報董事會；對於應收集、監控的系統稽覈軌跡或日誌紀錄(log)範圍尚未明確規範，也未就安全性資訊與事件管理平臺監控所發現異常事件的後續處理程序，明確訂定於系統稽覈軌跡或日誌紀錄的相關內部管理規範；對資料庫存取授權管理欠妥，沒有落實最小授權原則；電子商務系統有部分安全設計項目，未符合所訂內規的安全要求。

除了1個月內改善相關資安問題，金管會已下「最後通牒」，要求南山在6月底以前，完成「境界」改善，並要求有第三方公正單位進行檢測，否則不排除再次開罰。