南山人寿一个月内3度遭罚，金管会今天表示，发现南山人寿电子商务系统业务存在7项资安、洗钱防制及内稽内控相关缺失，限一个月内改正，并开罚新台币240万元。

南山人寿在4月18日及19日，才接连因未征得保户同意，片面变更保费收取方式，以及投资国内股票未落实停损，并对汇兑风险缺乏积极改善措施，遭到金管会开罚；先吞下600万元罚单，总经理停职半年，之后再被罚180万元。如今不到一个月，又再度收到金管会处分。

金管会表示，南山人寿在办理网络投保旅平险业务时，并未落实客户姓名检核，同时，针对网络投保个资复制到个人电脑的情形，没有稽核轨迹及管控措施，编制的应用系统安全管理作业手册以及各应用系统开发手册等规范内容，也不够完备。

此外，委外的运作网络监控服务，被发现实际在进行控管决策时有延宕情形，且未建立一般资安事故事件处理程序。APP的上架、安全性检测、发布与更新等作业规范，有违分工牵制原则，也未定期进行APP程式源代码检测、发行用密码变更及凭证备份与封存。

金管会指出，南山人寿虽订有资讯安全政策，但订定层级并未达董事会，有欠妥适，对于应收集、监控的系统稽核轨迹或日志纪录(log)范围，尚未明确规范，且公司数据库存取授权管理欠妥，电子商务系统的安全设计项目也不符合内规要求，皆具有碍健全经营的疑虑。

同时，南山人寿将正式作业主机的个资档案及数据库复制到开发测试主机作业，并未落实未去识别化；其电子商务系统的安全设计也有瑕疵，涉及个人资料时，并没有以隐码方式显示。

因此，金管会依照违反个资法规范，核处限期一个月内改正，且根据保险法，开罚240万元罚锾，并祭出4项纠正处分。