一、裁罰時間：108年5月17日

二、受裁罰之對象：南山人壽保險股份有限公司

三、裁罰之法令依據：個人資料保護法第48條第4款規定、

保險法第149條第1項及第171條之1第4項規定

四、違反事實理由：

(一) 該公司辦理網路投保旅平險業務，有未進行客戶姓名檢核作業之情事，核與洗錢防制法第7條第4項前段、第8條第3項、第9條第3項及第10條第3項授權訂定之「金融機構防制洗錢辦法」第8條第1款及第2款規定，以及保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第5條第1項第13款規定不符。

(二) 該公司所訂應用系統安全管理作業手冊及各應用系統開發手冊等規範內容有欠完備，不利確保應用程式變更之正確性及系統維運安全，核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第2款規定不符。

(三) 下列二項缺失事項均核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第8款規定不符：

1.  該公司委託外部資安廠商之網路監控服務，經查其對於控管服務方式之決定有延宕情形。另該公司有未建立非屬重大資安事故事件之處理程序之情事。

2.  該公司辦理行動裝置應用程式(APP)維護管理作業，所訂關於行動應用程式上架、安全性檢測、發布與更新等作業之規範，有違分工牽制原則。另該公司尚有未依所訂內部規範，定期辦理APP程式原始碼檢測、發行用密碼變更、憑證備份與封存等作業之情事。

(四) 下列四項缺失事項均核有保險法第149條第1項所定有礙健全經營之虞之情事：

1.  該公司之資訊安全政策係由總經理核定施行之「資訊安全準則」，未提報董事會，核定層級有欠妥適。

2.  該公司對於應收集、監控之系統稽核軌跡或日誌紀錄(log)範圍尚未明確規範，及未就安全性資訊與事件管理平台監控所發現異常事件之後續處理程序，明確訂定於系統稽核軌跡或日誌紀錄之相關內部管理規範。

3.  該公司對資料庫存取授權管理欠妥，未落實最小授權原則。

4.  該公司電子商務系統之部分安全設計項目，未符合所訂內規之安全要求。

(五) 該公司網路投保之個資可複製至個人電腦，並無稽核軌跡及管控措施，核與「個人資料保護法」第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第14條第1項規定不符。

(六) 該公司將正式作業主機之個資檔案及資料庫複製至開發測試主機作業，有未去識別化之情形，核與「個人資料保護法」第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第10條第1項第5款規定不符。

(七) 該公司電子商務系統之安全設計涉及個人資料，尚未妥適隱碼顯示，核與「個人資料保護法」第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第10條第1項第2款規定不符。

五、裁罰結果：依個人資料保護法第48條第4款規定，核處限期一個月內改正，並依保險法第171條之1第4項規定，核處罰鍰計新臺幣240萬元整，以及依保險法第149條第1項予以4項糾正之處分。

六、其他說明事項：無。