【從法規面解讀 7大產業如何遵循個資法】系列~~銀行業:消金資料禁止國際傳輸

 

 

OO銀行報廢電腦委外銷燬未全程監督,客戶個資外洩

 

OO銀行去年把計畫要銷毀的電腦委外處理,但銷毀過程中,OO銀行人員沒有全程監控,導致部分電腦的硬碟資料外流到二手市場,金管會裁定OO銀行200萬元罰鍰。金管會委官員說,OO銀行計畫銷毀27台個人電腦,並將電腦設備委外給外部廠商銷毀,OO銀行的人員沒有全程監控,其中11台個人電腦的硬碟外流到二手市場;這凸顯銀行在汰換電腦時,內稽內控出現缺失,該銀行並沒有建立妥適的資訊安全管控程序。(聯合報/20120601)。

 

 

依據金管會函示(金管銀國字第09900252970號),為落實個人資料保護及保障消費者權益,銀行委外銷毀客戶資料,應注意其委外作業程序及運送方式,並「參考」檔案法及機關檔案管理作業手冊相關規定辦理,且指派專責單位監毀。在本案例中,OO銀行對於電腦設備之汰換,未建立妥適之安全控管程序,導致部分電腦的硬碟資料外流到二手市場,且對於電腦設備交付外部廠商銷毀,未指派專責單位監毀,核有未建立及未落實執行內部控制制度之缺失,故OO銀遭金管會以違反銀行法第45條之11項之規定,依據同法第129條第7款核處該行新臺幣200萬元罰鍰。

 

 

 

在新版個資法上路前,金融業便已有電腦處理個人資料保護法之適用,除此之外,許多金融法規亦有相關個人資料保護條款。以銀行業為例,相關金融法規例如「銀行法」、「銀行間徵信資料處理交換服務事業許可及管理辦法」、「金融控股公司法」、「金融控股公司及銀行業內部控制及稽核制度實施辦法」、「金融控股公司子公司間共同行銷管理辦法」、「金融業個人資料檔案安全維護計畫標準」、「金融業接受個人資料查詢閱覽製給複製本之程序及收費標準」、「金融機構作業委託他人處理內部作業制度及程序辦法」等,皆課予銀行業者就客戶提供之個人資料採取一定保護措施或負有保密義務等。

 

 

 

因應新版個資法施行,針對客戶資料,除擴大個人資料保護範圍,不侷限於以電腦處理的個人資料外,亦增訂關於告知義務、個資事故通知行為義務等,且就個資安全維護措施亦有詳盡之規範。銀行業者針對過去作業流程,於內部規章、內控制度、作業手冊、表單資料,勢必皆須重新檢視,以符合新版個資法之要求。

 

 

 

消金業務禁止委託境外業者辦理

 

金融業常有業務委外的情形,為使金融機構作業委託他人辦理之作業品質及客戶權益保障更臻完善,並減低可能造成之風險,金管會於民國95918日訂定「金融機構作業委託他人處理內部作業制度及程序辦法」(下稱本辦法),規範金融機構作業委託他人辦理之委託事項範圍、客戶權益保障、風險管理及內部控制原則之內部作業制度及程序等事宜。依照本辦法第3條銀行業得將資料處理之業務(包含資料系統之監控、維護等)委託他人處理。

 

友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=13&aid=7430



 

 

SafeNet 資訊安全保護鎖系列  , 歡迎來電借測 !    

 

正新電腦提供 [ 借測活動 ]  並且提供借測使用上的技術指導。  

 

有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。  

 

更多產品資訊來源 : www.pronew.com.tw
正新電腦
 TEL :  04-2473-8309

 

arrow
arrow

    正新- 資安專家 發表在 痞客邦 留言(0) 人氣()