白金渝/金融業法遵人員,法學博士
2026年4月有162家金融機構、逾800人次參與金融資安交流會(FORCE 2026),如此踴躍不僅反映金融機構對資安的重視和需求,更顯示監理機關強調個資保護與資訊安全。回顧近期重大事件,2025年台灣有金融機構因內部權限控管疏失,導致數十萬名客戶投保與往來資料外洩,而在國際上,2024年6月駭客組織 ShinyHunters在暗網公開販售桑坦德銀行(Banco Santander)的客戶資料,關於國內因資安缺失與個資外洩被裁罰的案件請參表1。
這些案例揭示一個重要趨勢:駭客攻擊已從傳統針對金融機構本身的「單點突破」,轉向攻擊防護相對薄弱的第三方雲端資料供應商。有鑑於個資外洩已成為影響金融韌性(Financial Resilience)的關鍵變數之一,監理機關不僅要求金融機構完善自身系統,更期待與金融機構配合的周邊供應商,均能提升有效的資安措施,以建構完備的防護網。
表1:近年個資外洩/資訊安全之裁罰重點
監理揮棒:日本 NTT 案與巴塞爾協議的資本緊縮效應
個資外洩的衝擊不分國界,日本NTT電信集團轄下的西日本電信電話株式会社(簡稱NTT 西日本)子公司的派遣工程師,自2013年至2023年間,利用其維護系統的權限,將包含銀行與保險公司約900萬筆客戶資料下載並轉售給非法行銷業者,這起震驚日本社會的 NTT內部員工資料竊取案,對此日本三大監管機關都採取對應措施如下:
1、個人情報保護委員會 (PPC):認定 NTT Marketing Act ProCX及NTT Business Solutions在未落實委外監督機制的情況下,放任系統存在長期漏洞,且事後查核敷衍了事,屬於嚴重的「組織安全管理措施」失靈,依據日本《個人情報保護法》第147條、第148條第1項,對兩家公司同步發布「指導」、「勸告」。PPC指出其「監督不到位」及「存取軌跡分析無效」,要求其必須釐清過去內部查核無效的根本原因,並限期提交具體的再發防止對策與執行報告。
2、總務省 (MIC) :從業務營運與資訊傳信安全的角度介入,依據日本《電信事業法》發布「行政指導」,要求母公司NTT西日本必須全面重構對委託廠商的監督機制,並落實對受害者的賠償。
3、金融廳 (FSA):由於 NTT西日本及其子公司屬於電信與業務委外服務業,並非特許的金融機構,因此FSA沒有權限直接對其下達行政處分,故轉向對受害的金融機構(如:阿波銀行、山田生命保險等)下達「報告徵求命令」及「改善命令」,要求限期提出「第三方(委外管理商)管理體系再建計畫」,實質介入銀行的內部治理。
雖然PPC施以看似溫和的「指導」、「勸告」,然熟習日本文化的人即知,這等於被貼上「不可信賴」的標籤,NTT Marketing Act ProCX 及NTT Business Solutions在未來的一段時期內很難標到政府或大型金融機構的新專案,因此該等公司為此進行大規模的品牌重塑。此外,兩家公司均須賠償受害的客戶,即便以500到1000日圓的禮券或賠償金,以900萬人次估算,潛在的賠償金與行政處理成本不容小覷。
儘管FSA下達「報告徵求命令」、「改善命令』沒有罰款,但其背後的財務殺傷力更強,在Basel III架構下,資安事故與委外缺失引發的的罰鍰與賠償成本須納入資本適足率計提公式,將直接推升作業風險(Operational Risk)的風險加權資產(RWA)計提,如果資本適足率跌破監理紅線,金融機構可選擇增資,但會稀釋每股盈餘(EPS),導致股價重挫,引發外資與法人股東的不滿;也可選擇緊縮業務,砍掉耗費資本的高利潤業務(例如:暫停大型企業聯貸、停止發放高額現金股利、終止海外併購與設立新分行等)。日本瑞穗銀行 (Mizuho Bank) 即曾因多次系統故障被 FSA下達多次業務改善命令,被迫投入上千億日圓徹底翻新系統,並被調降監理評等,導致其在申請新業務(如新型數位資產、跨國併購)時,面臨比同業嚴格的業務審查,這就是為何日本高階管理層在面對監理命令時,壓力甚至大於罰款的原因。
治理新常態:資安防禦升級為董事會核心決策
根據IBM與Ponemon Institute的《2025全球資安成本報告》(Cost of a Data Breach Report),雖然全球資料外洩的平均成本略有下降,但美國的單次事件平均成本飆升為1022萬美元,主因是監管機關加重裁罰力度。在IBM調查的600起資料外洩事件中,32%的企業須支付監理罰款,其中48%的罰款超過10萬美元。該報告也指出醫療保健業和金融服務業仍是主要被攻擊目標,前者資料外洩平均成本高達742萬美元,後者為556萬美元。而當紅炸子雞AI人工智慧是雙面刃,當企業享受AI帶來的便利時,有六分之一的組織遭遇過涉及AI驅動攻擊的安全漏洞,最常見的是網路釣魚和深度偽造冒充,而且這類新型攻擊模式拉長復原期,大多數企業平均耗時超過 100 天才完成恢復,極少數企業能在50天內恢復。依據Cisco的《2025全球資安準備度指數》(2025 Cisco Cybersecurity Readiness Index),全球僅有4%的企業具備應對現代資安風險的「成熟」韌性。尤有甚者,與雲端數據防護及身分驗證最相關的「雲端強化」與「身分識別安全」指標,全球達到成熟標準的企業分別僅有4%與6%,突顯出金融機構在數位轉型與多雲治理中存在嚴重的內控合規隱憂。
面對這些挑戰,台灣也沒有停歇,在國內外個資外洩/資安事件頻傳後,立法院修正《個人資料保護法》將罰鍰上限從原本的20萬元大幅提升至1,500萬元,並得按次處罰,旨在增加違法成本,敦促業界強化資安防禦強度。同年底,金管會又發布2026-2029為期四年的《金融資安韌性發展藍圖》,目標是建構「可預測、可防禦、可復原」的金融生態系,引導金融機構從合規導向轉向目標導向,建立「可量測、可成長、可差異化」監理架構。並明定自 2026 年起,資安長須親自向董事會報告,將資安正式納入高階經營決策。為了防範IT供應鏈風險,金融業須建立軟體物料清單(SBOM)機制,並於高風險場域強制導入「零信任架構」。為接軌雲端趨勢,金管會預計2026年完成「API安全基準」與「容器服務監控基準」,以提升跨機構的聯防效益。因應新型AI駭客工具的挑戰,金管會著手研訂《金融業AI系統安全防護及檢測參考指引》、《金融業後量子密碼學(PQC)遷移參考指引》,以及《資安責任之委外契約參考條款》,要求落實供應商分級、服務級別協定標準化與供應鏈透明化,具體內容與成效,仍待持續觀察。
從《金融資安韌性發展藍圖》及前揭計畫可知,強化資訊安全已不再侷限於 IT 部門的技術工作,而是全面性的「風險治理」議題,董事會若未建立合理的「第三方資安內部控制與監督體制」,可能被認定為「未盡善良管理人注意義務」,甚至面臨股東代表訴訟。未來若發生大規模個資外洩,主管機關可能請董事會說明對「資安預算」與「風險文化」的投入度及提出佐證,例如在永續報告書、永續金融評鑑、IFRS S1永續相關風險與機會財務影響評估等文件揭露,故而應確保資安預算佔年度 IT總預算的一定比例。建立資安長直接向董事會報告,確保資安決策不被業務營運壓力排除、每年至少一次由董事會成員參與「資安事故應變演練」,確認決策鏈路通暢、落實新業務上線前「個人資料隱私衝擊評估 (Data Protection Impact Assessment)」、對於存放客戶個資的雲端或協力廠商,應要求其出具最新的國際資安認證,並保留實地抽查權限等措施(請參表2),是金融機構不可不為的當務之急。
表2:董事會對資安的治理檢核關鍵
