Skip to content

个案简述

个案简述

有关病历资料的个案简述

参考编号.:2017DB02

载有11,000名未经加密的病人资料的资讯科技系统遭入侵 — 保障资料第4原则 — 个人资料的保安

背景

一个政府部门向私隐公署通报,表示其资讯科技系统遭入侵。遭入侵的伺服器载有超过11,000个未经加密的临时档案,当中载有病人的个人资料,包括:姓名、香港身份证号码、性别、病历记录及评估资料。在发现事件后,该部门立即停用该伺服器,并在其后的调查中发现只有少于4%的临时档案可能被黑客存取或下载。

根据该部门的调查,有关的临时档案是由一个程式设计介面所产生。由于程式故障,该些档案在使用完成后没有被立即销毁。虽然该部门早于数个月前已得悉有关的程式故障,并已进行了第一批的档案销毁行动,但余下的该些档案仍可被入侵。

补救措施

在内部调查过程中,该部门找出了系统的保安漏洞并进行修复。同时,该部门在恢复使用其资讯科技系统前,对此进行了全面性的保安风险评估及私隐影响评估,并建议和制定了以下的长期措施以防止日后再发生类似事件:

  1. 为增强系统的保安,于一年内转移其资讯科技系统至政府资讯科技总监办公室提供的“电子政府基建服务”平台;
  2. 争取使用资讯科技顾问服务,以增强其系统保安及监察;及
  3. 争取资源强化内部资讯科技支援队伍,以减少对外判商的依赖。

上载日期:2022年7月


个案种类 : 按条例规定/保障资料原则/实务守则/指引分类: 按题目/内容分类: