新聞標題【民報】薪資系統洩千人個資 北市府遭監院糾正
寄件人 E-mail
收件人 E-mail

薪資系統洩千人個資 北市府遭監院糾正

 2017-12-08 15:09
監察院今(8)日透過新聞稿表示,台北市政府民國105年自行開發設計「薪資發放管理系統」,但未妥善保護個人資料,導致部分公務員資料曝光,監察院內政及少數民族委員會昨天通過監委高鳳仙、江綺雯的調查報告及糾正案,糾正台北市政府。圖/台北市政府(資料照片)
監察院今(8)日透過新聞稿表示,台北市政府民國105年自行開發設計「薪資發放管理系統」,但未妥善保護個人資料,導致部分公務員資料曝光,監察院內政及少數民族委員會昨天通過監委高鳳仙、江綺雯的調查報告及糾正案,糾正台北市政府。圖/台北市政府(資料照片)

監察院今(8)日透過新聞稿表示,台北市政府民國105年自行開發設計「薪資發放管理系統」,但未妥善保護個人資料,導致部分公務員資料曝光,監察院內政及少數民族委員會昨天通過監委高鳳仙、江綺雯的調查報告及糾正案。

調查本案的高鳳仙、江綺雯指出,北市府近3年共編列約2億1,258萬元之資安防護預算,卻發生資安事件至少19起,其中17起有系統漏洞且有明確事證,可證實已發生資料遭洩漏、系統或資料遭竄改、業務運作遭影響或系統停頓等情事,依法須通報行政院。高達12起係肇因於「應用程式漏洞」或「軟硬體漏洞」;並有2起個資外洩、6起遭外部有心人士實際入侵之嚴重情事,違失情節明確。

監委調查部分包括,北市府於2016年斥資不斐自行開發設計『薪資發放管理系統』,處理轄下機關、學校、台北市議會等人員之薪資發放、考績等業務,卻未妥善保護個人資料,致部分公務員之姓名、薪資、考績等資料曝光於網路」及「台北市政府『智慧支付平台 pay.taipei』及『單一陳情系統Hello Taipei Android 版 APP』涉及使用者帳號、密碼等資料外洩,其網站為何未使用加密通訊協定等情事」。

根據高鳳仙、江綺雯提出糾正案文,監委表示,台北市政府於100年間,將薪資系統主機由內網移至DMZ區(邊界網路),卻未採取「依業界標準作法標記不予攀爬或索引」、「設置防火牆及存取控制白名單」及「建立登入驗證機制」等資安防護措施,致使任何人在Yahoo可搜尋該清冊之員工職稱、姓名、帳戶號碼、薪資明細等資料,遲至106年1月9日接獲通報,始知悉資料外洩,而以防火牆設定阻擋,並加入認證機制。

監委表示,根據北市府實際清查結果,有190筆薪資報表檔案連結外露,其中18張報表連結,疑遭23個外部IP連結或下載,受影響員工2,313名。「台灣微軟公司發現至少有一個網頁連結到一個目前已不存在的第三人網站,該網站涉嫌惡意個資蒐整或其他不法運用等犯罪」,但市府未依個人資料保護法第18條,妥善維護所屬員工個資之安全,讓4萬餘名員工遭受個資外洩風險長達6年,使2,313名員工之薪資報表疑遭外部IP連結或下載,核有嚴重違失。

監委指出,台北市政府於106年1月23日,確認2,313名員工個資疑遭外洩後,僅先對全府員工發送通知,後函請報表遭外洩之機關單位轉知所屬,告知及建議同仁加強網路銀行密碼強度,未依個人資料保護法施行細則第22條第2項規定,對疑遭個資外洩員工個別通知其個資疑遭外洩之事實,及已採取的因應措施,不僅未能保護疑遭個資外洩員工之權益,且易生賠償請求權時效何時起算之爭議。遲至監察院約詢後,始自106年6月6日起,針對2,313名員工再次發送通知函,核有違失。

監委指出,台北市政府「智慧支付平台 pay.taipei」及「單一陳情系統 Hello Taipei」資安事件,係因採用國家發展委員會GCA SSL憑證進行加密,惟該憑證當時與Google Play尚不相容,該府不察,未能及時督促得標廠商改採其他商業電子憑證,以致短期間連續爆發2件因未採用Https加密技術,而致個資外洩爭議,核有疏失;「台北市政府志工管理整合平台」發生世界大學運動會志工個資外洩事件,行政作業違失情節明確。

相關新聞列表
留言板