个案简述

学会误信仿冒诈骗电邮导致6,131名会员资料外泄 — 保障资料第4原则 — 个人资料的保安

背景

一间学会向私隐公署通报，该学会不慎地应一封仿冒诈骗电邮的要求而泄漏了会员的个人资料。该电邮看似来自该学会的行政总裁，要求索取会员资料。该学会不疑有诈，向该仿冒诈骗电邮的来件者发送一份载有6,131名会员的姓名、勋衔及电邮地址的名单。

该学会解释，该仿冒诈骗电邮要求把有关资料传送到两个指定的电邮地址，其中一个是行政总裁的官方电邮地址，另一个看来是他的私人电邮地址。基于收到有关要求的职员相信其行政总裁急切需要有关资料，因此才遵从该要求而导致资料外泄。该学会再解释，虽然载有会员资料的资料库已受密码保护及加密，但在事件中从资料库所产生的名单，是没有受到任何措施保护的。

补救措施

该学会因应事件采取了下述补救行动，防止日后再发生类似事件：

1. 要求所有职员以电邮通讯时须用密码保护载有个人资料的档案及限制他们使用私人电邮帐户进行与业务有关的事宜；
2. 提醒所有职员严格遵守其“资讯保安政策”及“可接受使用政策”所规定的要求；
3. 提供培训以加强职员对资讯科技保安的意识；及
4. 聘请外间资讯科技顾问，提供持续的保安监控及对资讯科技和保障资料事宜的意见。

上载日期：2022年7月