2千個資外洩，北市府遭糾正

【數位網路記者陳漢墀台北報導/ 2017,12,8】

台北市政府2016年自行開發設計「薪資發放管理系統」，但未妥善保護個人資料，導致部分員工資料曝光，監察院昨(7)日通過監委高鳳仙、江綺雯的調查報告及糾正案。

監察委員高鳳仙、江綺雯指出，臺北市政府近3年來，共編列約新臺幣（下同）2億1千餘萬元之資安防護預算，卻發生至少19起資安事件，其中17起有「系統漏洞且有明確事證可證實已發生資料遭洩漏」、「系統或資料遭竄改」或「業務運作遭影響或系統停頓」情事，高達12起係肇因於「應用程式漏洞」或「軟硬體漏洞」，2起個資外洩，6起遭外部有心人士實際入侵，違失情節明確。

高鳳仙、江綺雯提出糾正案文糾正案文指出：

一、臺北市政府於100年間，將薪資系統主機由內網移至DMZ區，卻未採取「依業界標準作法標記不予攀爬或索引」、「設置防火牆及存取控制白名單」及「建立登入驗證機制」等資安防護措施，致使任何人在Yahoo可搜尋該清冊之員工職稱、姓名、帳戶號碼、薪資明細等資料，遲至106年1月9日接獲通報，始知悉資料外洩，而以防火牆設定阻擋，並加入認證機制。該府實際清查結果，有190筆薪資報表檔案連結外露，其中18張報表連結，疑遭23個外部IP連結或下載，受影響員工2,313名。台灣微軟公司發現至少有一個網頁連結到一個目前已不存在的第三人網站，該網站涉嫌惡意個資蒐整或其他不法運用等犯罪。該府未依個人資料保護法第18條，妥善維護所屬員工個資之安全，讓4萬餘名員工遭受個資外洩風險長達6年，使2,313名員工之薪資報表疑遭外部IP連結或下載，核有嚴重違失。

二、臺北市政府於106年1月23日，確認2,313名員工個資疑遭外洩後，僅先對全府員工發送通知，後函請報表遭外洩之機關單位轉知所屬，告知及建議同仁加強網路銀行密碼強度，未依個人資料保護法施行細則第22條第2項規定，對疑遭個資外洩員工個別通知其個資疑遭外洩之事實，及已採取的因應措施，不僅未能保護疑遭個資外洩員工之權益，且易生賠償請求權時效何時起算之爭議。遲至監察院約詢後，始自106年6月6日起，針對2,313名員工再次發送通知函，核有違失。

三、臺北市政府「智慧支付平台 pay.taipei」及「單一陳情系統 Hello Taipei」資安事件，係因採用國家發展委員會GCA SSL憑證進行加密，惟該憑證當時與Google Play尚不相容，該府不察，未能及時督促得標廠商改採其他商業電子憑證，以致短期間連續爆發2件因未採用Https加密技術，而致個資外洩爭議，核有疏失；「臺北市政府志工管理整合平台」發生世界大學運動會志工個資外洩事件，行政作業違失情節明確。

四、臺北市政府近3年來(104年至106年)，共編列約2億1,258萬元之資安防護預算，卻發生資安事件至少19起，其中17起有系統漏洞且有明確事證，可證實已發生資料遭洩漏、系統或資料遭竄改、業務運作遭影響或系統停頓等情事，依法須通報行政院。高達12起係肇因於「應用程式漏洞」或「軟硬體漏洞」；並有2起個資外洩、6起遭外部有心人士實際入侵之嚴重情事，違失情節明確。