台北市政府為處理市內機關包括學校、議會等人員的薪資發放、考績等業務,自行開發設計「薪資發放管理系統」,但並未妥善保護個人資料,導致部分公務員姓名、薪資、考績等資料曝光;此外,還有北市府的「智慧支付平台 pay.taipei」及「單一陳情系統Hello Taipei Android版APP」皆有使用者帳號、密碼外洩情形,對此,監察院今(8)日表示,已向台北市政府提出糾正。
1月爆出個資外洩 北市府僅建議加強密碼強度
北市府資安事件由監察委員高鳳仙、江綺雯負責調查報告及糾正案,全案並於昨(7)日下午由監察院內政及少數民族委員會審查通過。高鳳仙、江綺雯表示,北市府於2011年間,將薪資系統主機由內網移至DMZ區,卻未完善資安防護的相關配套,在今年1月爆出員工個資外洩事件,使任何人皆可在網路上搜尋該清冊的員工職稱、姓名、帳戶號碼、薪資明細等資料,而陷於個資外洩風險的員工達4萬餘名。
而北市府直到今年1月9日接獲通報,才知悉資料外洩,並以防火牆設定阻擋,加入認證機制。事後實際清查結果卻發現,有190筆薪資報表檔案連結外露,其中18張報表連結疑遭23個外部IP連結或下載,實際受影響的員工人數達2313名。
而北市府在確認2313名員工個資疑遭外洩後,卻僅先對全府員工發送通知,後函請報表遭外的機關單位轉知所屬,告知及建議市府同仁「加強網路銀行密碼強度」。遲至監察院約詢後,北市府才自今年6月6日起,針對2313名員工再次發送通知函。
高鳳仙、江綺雯指出,北市府未依《個人資料保護法》第18條,妥善維護員工個資安全,讓4萬餘名員工遭受個資外洩風險長達6年,也使其中的2313名員工的薪資報表疑遭外部IP連結或下載,有嚴重違失。另外,針對北市府沒有立即做出告知及因應措施,未依《個人資料保護法施行細則》第22條第2項規定,對疑遭個資外洩員工個別「通知其個資疑遭外洩之事實,及已採取的因應措施」,也被監察院確定核有違失。
北市府斥資逾2億維護資安 個資外洩仍至少19起
另外,同樣也發生資安事件的還有台北市政府「智慧支付平台 pay.taipei」、「單一陳情系統 Hello Taipei」、「台北市政府志工管理整合平台」,監察院指出,北市府在2015年至2017年間,共編列約2億1258萬元的資安防護預算,卻仍然發生資安事件至少19起,其中17起有系統漏洞且有明確事證,可證實已發生資料遭洩漏、系統或資料遭竄改、業務運作遭影響或系統停頓,依法須通報行政院。高達12起係肇因於「應用程式漏洞」或「軟硬體漏洞」;並有2起個資外洩、6起遭外部有心人士實際入侵之嚴重情事,違失情節明確。