跳到主要內容區塊

糾正案文

類  別: 糾正案文
審議日期: 106/12/07
公告日期: 107/01/03
字  號: 106內正0027
案  由: 高委員鳳仙、江委員綺雯提:臺北市政府於100年間,將薪資發放管理系統主機由內網移至DMZ區,卻未依業界標準,設置相關資安防護措施,致使任何人在Yahoo可搜尋薪資清冊上之員工個人資料;並遲至106年1月9日接獲通報始知悉資安漏洞而以防火牆設定阻擋並加入認證機制,讓4萬餘名員工遭受個資外洩風險長達6年,使2,313名員工之薪資報表疑遭外部IP連結或下載。復未依個資法施行細則第22條第2項規定,對疑遭個資外洩員工個別通知相關事實及已採取的因應措施;遲至本院約詢後,始於106年6月6日起,針對2,313名員工再次發送通知函,違失情節明確。另該府「智慧支付平台 pay.taipei」及「單一陳情系統 Hello Taipei」未督促得標廠商採用Https加密技術而致個資外洩爭議,以及「臺北市政府志工管理整合平台」發生世界大學運動會志工個資外洩事件,亦核有疏失。臺北市政府近3年來(104年至106年),共編列約2億1,258萬元之資安防護預算,卻發生資安事件至少19起,其中17起有系統漏洞且有明確事證可證實已發生資料遭洩漏、系統或資料遭竄改、業務運作遭影響或系統停頓等情事之1,依法須通報行政院;高達12起係肇因於「應用程式漏洞」或「軟硬體漏洞」;並有2起個資外洩、6起遭外部有心人士實際入侵之嚴重情事,違失情節明確,爰依監察法第24條提案糾正。
機關改善情形: 附件1
案件狀態: 已結案
本案文件: 1061207 糾正案文 (0103修正公布版).docx 1061207 糾正案文 (0103修正公布版).pdf
調查報告: 連結 連結