金管會解釋,會發現此疏失是因為台新銀客戶向銀行反應,有收到錯誤的催收帳單與信用卡帳當內容的情況,出現「名字是我的,但刷卡內容不是我的」之情況,台新銀在查核後發現內部作業與委外廠商有疏失。
信用卡帳單、催收信函寄錯人 台新銀遭罰600萬元
首先,金管會表示,台新銀行在109年5月1日及113年5月9日調整信用卡系統地址欄位時,未同步調整催收系統,及在111年8月調整行動銀行地址變更功能時,寫入臺幣核心系統的規則設計錯誤,分別導致催收系統產出之的簽帳金融卡、信用卡及消金產品催收信函地址異常,可能誤寄而產生個資外洩,受影響客戶數共1089人。
此外,台新銀委外的資訊公司,在辦理信用卡帳單列印及封裝時,因委外廠商印表機於113年11月22日凌晨時發生感測器(sensor)與對位代碼(code)間讀取異常,導致列印帳單正面姓名與背面交易明細/繳款聯分屬不同客戶,受影響客戶數共358人。
金管會表示,從以上兩案可以看出,台新銀未完善建立資訊系統異動的測試及檢覈機制,且未完善建立催收信函檔案寄送及退郵後的控管機制。
另一方面,金管會也認為台新銀對內未確實執行測試及驗收的作業規範,儘管銀行內部規範已規定系統上線前測試作業應核對資料輸出結果的正確性,但該行在109年5月信用卡系統上線前執行整合測試時,資訊單位未確實檢視輸出結果,致未能發現地址輸出異常情事。
4年間影響約1500人 金管會:銀行已用簡訊、信函通知受影響客戶
在委外廠商出現疏失的部分,金管會認定台新銀對外未有效督導受委託機構建立完善的內部控制制度,導致本案中的受委託機構未確實依作業程序查證列印資料正確性,且其作業程序缺乏寄發前的有效錯誤核驗機制,致使列印錯誤的帳單仍被寄出,顯見該行未有效督導受委託機構建立完善的內部控制制度。
金管會表示,台新銀違反銀行法第45條之1第1項、第3項及其分別授權訂定之內控內稽辦法第3條第1項、第8條第1項及委外辦法第6條第1項規定,爰依銀行法第129條第7款規定,核處600萬元罰鍰。
至於被問到目前台新銀的處理方式,根據金管會掌握到的進度,台新銀已經以簡訊跟信函通知可能發生個資影響的客戶,「據了解,目前沒有繼續客訴。」
針對本次事件,台新銀行回應表示:「第一時間通報主管機關並積極配合調查。後續將進行檢討與修正,確保同類事件不再發生。」
