南山人寿再吞第3张罚单 资安、个资缺失遭保险局开罚240万
▲南山人寿。(图/记者李蕙璇摄)
记者戴瑞瑶/台北报导
南山人寿缺失仍持续爆发,4月时保险局已经针对南山连续两次重罚,现在新系统大乱还未解决,今天(17日)保险局又再针对南山人寿开罚240万元,这已经是南山人寿近2个月以来第3张罚单,累计保险局已对南山开罚1020万元。
南山人寿才因为换更改缴费方式,造成多张保户保单停效,4月份遭保险局重罚600万,总经理更是被停职半年,隔天保险局再因为南山投资缺失再祭出一张180万罚单。之后又爆出有黑函指南山人寿图利群益投信,还有斥资百亿的新系统,不断发生保户解约金算错、投资型保单下错单等状况。
金管会主委顾立雄跟保险局局长施琼华都祭出最后通牒,要求南山人寿6月底前要完成新系统的改善,并且待新系统稳定下来后,保险局还会做出后续处置,意思就是还会再次大举开罚,甚至会衡量南山过往的所有缺失。
可是在新系统缺失大罚单还没出来前,没想到保险局又再次抓到南山人寿在资安跟违反个资法上的缺失,今天(17日)再对南山人寿开罚240万元。
保险局官员指出,南山人寿这次主要有7大项缺失。第一,网路投保旅平险没有进行客户姓名检核作业;也发现网路投保的个资可以复制到个人电脑,没有任何稽核轨迹及管控措施,已经违反个资法。
南山也把正式作业主机的个资档案及资料库,复制到「开发测试的主机」,但却没有去识别化,这也违法个资法。
保险局也发现,南山人寿订定的应用系统安全管理作业手册及各应用系统开发手册,规范内容有欠完备,不利确保应用程式变更的正确性及系统维运安全。
有两项缺失则跟内稽内控有关,一项是南山委托外部资安厂商做网路监控服务,但却对控管服务方式的决定延宕,南山也没有建立非重大资安事故事件的处理程序;第二是APP维护管理作业上,关于APP上架、安全性检测、发布与更新等作业规范,有违分工牵制原则。南山也没有依内部规范,定期办理APP程式原始码检测、发行用密码变更、凭证备份与封存等作业。
另有4项缺失,保险局则认为南山「有碍健全经营之虞」。主要是南山资安政策是由总经理核定,却未提报董事会,与对于系统稽核轨迹或日志纪录(log)范围没有明确规范等。
累计近2个月,保险局已经对南山人寿连续开出3张大罚单,第一张是针对擅自更改缴费方式开罚600万元;第二张是针对其投资缺失开罚180万元;第三张就是这次个资、资安双缺失开罚240万元。三笔罚单加起来,南山人寿在近2个月已经遭罚高达1020万元。
根据保险局的统计,若以对寿险公司开罚金额来看,史上最高的罚单,是去年4月的远雄人寿,罚锾高达1440万元,创下寿险公司罚款金额史上最高纪录。第二是2007年统一安联人寿被罚1320万,第三就是去年的富邦人寿1260万元。南山人寿则是今年以来累计被开罚金额最高的寿险公司。