南山人壽再吞第3張罰單 資安、個資缺失遭保險局開罰240萬

▲南山人壽。(圖/記者李蕙璇攝)

記者戴瑞瑤/臺北報導

南山人壽缺失仍持續爆發,4月時保險局已經針對南山連續兩次重罰,現在新系統大亂還未解決,今天(17日)保險局又再針對南山人壽開罰240萬元,這已經是南山人壽近2個月以來第3張罰單,累計保險局已對南山開罰1020萬元。

南山人壽才因爲換更改繳費方式,造成多張保戶保單停效,4月份遭保險局重罰600萬,總經理更是被停職半年,隔天保險局再因爲南山投資缺失再祭出一張180萬罰單。之後又爆出有黑函指南山人壽圖利羣益投信,還有斥資百億的新系統,不斷髮生保戶解約金算錯、投資型保單下錯單等狀況。

金管會主委顧立雄跟保險局局長施瓊華都祭出最後通牒,要求南山人壽6月底前要完成新系統的改善,並且待新系統穩定下來後,保險局還會做出後續處置,意思就是還會再次大舉開罰,甚至會衡量南山過往的所有缺失。

可是在新系統缺失大罰單還沒出來前,沒想到保險局又再次抓到南山人壽在資安跟違反個資法上的缺失,今天(17日)再對南山人壽開罰240萬元。

保險局官員指出,南山人壽這次主要有7大項缺失。第一,網路投保旅平險沒有進行客戶姓名檢核作業;也發現網路投保的個資可以複製到個人電腦,沒有任何稽覈軌跡及管控措施,已經違反個資法。

南山也把正式作業主機的個資檔案及資料庫,複製到「開發測試的主機」,但卻沒有去識別化,這也違法個資法。

保險局也發現,南山人壽訂定的應用系統安全管理作業手冊及各應用系統開發手冊,規範內容有欠完備,不利確保應用程式變更的正確性及系統維運安全。

有兩項缺失則跟內稽內控有關,一項是南山委託外部資安廠商做網路監控服務,但卻對控管服務方式的決定延宕,南山也沒有建立非重大資安事故事件的處理程序;第二是APP維護管理作業上,關於APP上架、安全性檢測、發佈與更新等作業規範,有違分工牽制原則。南山也沒有依內部規範,定期辦理APP程式原始碼檢測、發行用密碼變更、憑證備份與封存等作業。

另有4項缺失,保險局則認爲南山「有礙健全經營之虞」。主要是南山資安政策是由總經理覈定,卻未提報董事會,與對於系統稽覈軌跡或日誌紀錄(log)範圍沒有明確規範等。

累計近2個月,保險局已經對南山人壽連續開出3張大罰單,第一張是針對擅自更改繳費方式開罰600萬元;第二張是針對其投資缺失開罰180萬元;第三張就是這次個資、資安雙缺失開罰240萬元。三筆罰單加起來,南山人壽在近2個月已經遭罰高達1020萬元。

根據保險局的統計,若以對壽險公司開罰金額來看,史上最高的罰單,是去年4月的遠雄人壽,罰鍰高達1440萬元,創下壽險公司罰款金額史上最高紀錄。第二是2007年統一安聯人壽被罰1320萬,第三就是去年的富邦人壽1260萬元。南山人壽則是今年以來累計被開罰金額最高的壽險公司。