類 別: |
糾正案文 |
審議日期: |
106/12/07 |
公告日期: |
107/01/03
|
字 號: |
106內正0027 |
案 由: |
高委員鳳仙、江委員綺雯提:臺北市政府於100年間,將薪資發放管理系統主機由內網移至DMZ區,卻未依業界標準,設置相關資安防護措施,致使任何人在Yahoo可搜尋薪資清冊上之員工個人資料;並遲至106年1月9日接獲通報始知悉資安漏洞而以防火牆設定阻擋並加入認證機制,讓4萬餘名員工遭受個資外洩風險長達6年,使2,313名員工之薪資報表疑遭外部IP連結或下載。復未依個資法施行細則第22條第2項規定,對疑遭個資外洩員工個別通知相關事實及已採取的因應措施;遲至本院約詢後,始於106年6月6日起,針對2,313名員工再次發送通知函,違失情節明確。另該府「智慧支付平台 pay.taipei」及「單一陳情系統 Hello Taipei」未督促得標廠商採用Https加密技術而致個資外洩爭議,以及「臺北市政府志工管理整合平台」發生世界大學運動會志工個資外洩事件,亦核有疏失。臺北市政府近3年來(104年至106年),共編列約2億1,258萬元之資安防護預算,卻發生資安事件至少19起,其中17起有系統漏洞且有明確事證可證實已發生資料遭洩漏、系統或資料遭竄改、業務運作遭影響或系統停頓等情事之1,依法須通報行政院;高達12起係肇因於「應用程式漏洞」或「軟硬體漏洞」;並有2起個資外洩、6起遭外部有心人士實際入侵之嚴重情事,違失情節明確,爰依監察法第24條提案糾正。 |
機關改善情形: |
附件1 |
案件狀態: |
已結案 |
本案文件: |
1061207 糾正案文 (0103修正公布版).docx
1061207 糾正案文 (0103修正公布版).pdf
|
調查報告: |
連結
連結
|