南山人寿再吞第3张罚单　资安、个资缺失遭保险局开罚240万

▲南山人寿。（图／记者李蕙璇摄）

记者戴瑞瑶／台北报导

南山人寿缺失仍持续爆发，4月时保险局已经针对南山连续两次重罚，现在新系统大乱还未解决，今天(17日)保险局又再针对南山人寿开罚240万元，这已经是南山人寿近2个月以来第3张罚单，累计保险局已对南山开罚1020万元。

南山人寿才因为换更改缴费方式，造成多张保户保单停效，4月份遭保险局重罚600万，总经理更是被停职半年，隔天保险局再因为南山投资缺失再祭出一张180万罚单。之后又爆出有黑函指南山人寿图利群益投信，还有斥资百亿的新系统，不断发生保户解约金算错、投资型保单下错单等状况。

金管会主委顾立雄跟保险局局长施琼华都祭出最后通牒，要求南山人寿6月底前要完成新系统的改善，并且待新系统稳定下来后，保险局还会做出后续处置，意思就是还会再次大举开罚，甚至会衡量南山过往的所有缺失。

可是在新系统缺失大罚单还没出来前，没想到保险局又再次抓到南山人寿在资安跟违反个资法上的缺失，今天(17日)再对南山人寿开罚240万元。

保险局官员指出，南山人寿这次主要有7大项缺失。第一，网路投保旅平险没有进行客户姓名检核作业；也发现网路投保的个资可以复制到个人电脑，没有任何稽核轨迹及管控措施，已经违反个资法。

南山也把正式作业主机的个资档案及资料库，复制到「开发测试的主机」，但却没有去识别化，这也违法个资法。

保险局也发现，南山人寿订定的应用系统安全管理作业手册及各应用系统开发手册，规范内容有欠完备，不利确保应用程式变更的正确性及系统维运安全。

有两项缺失则跟内稽内控有关，一项是南山委托外部资安厂商做网路监控服务，但却对控管服务方式的决定延宕，南山也没有建立非重大资安事故事件的处理程序；第二是APP维护管理作业上，关于APP上架、安全性检测、发布与更新等作业规范，有违分工牵制原则。南山也没有依内部规范，定期办理APP程式原始码检测、发行用密码变更、凭证备份与封存等作业。

另有4项缺失，保险局则认为南山「有碍健全经营之虞」。主要是南山资安政策是由总经理核定，却未提报董事会，与对于系统稽核轨迹或日志纪录(log)范围没有明确规范等。

累计近2个月，保险局已经对南山人寿连续开出3张大罚单，第一张是针对擅自更改缴费方式开罚600万元；第二张是针对其投资缺失开罚180万元；第三张就是这次个资、资安双缺失开罚240万元。三笔罚单加起来，南山人寿在近2个月已经遭罚高达1020万元。

根据保险局的统计，若以对寿险公司开罚金额来看，史上最高的罚单，是去年4月的远雄人寿，罚锾高达1440万元，创下寿险公司罚款金额史上最高纪录。第二是2007年统一安联人寿被罚1320万，第三就是去年的富邦人寿1260万元。南山人寿则是今年以来累计被开罚金额最高的寿险公司。