医疗中心的客户个人资料管理系统遭未获授权查阅 — 保障资料第4原则 — 个人资料的保安
背景
一间医疗中心向私隐公署通报,指其载有病人档案的客户个人资料系统被勒索软件攻击,导致约115,000名病人的个人资料,包括姓名、性别、出生日期、香港身份证号码、联络号码及地址、电邮地址、职业、家族历史及病人紧急联络人的资料外泄。是次事故源于该医疗中心使用过时的操作系统及软件,导致其系统容易遭受攻击。
补救措施
在收到该医疗中心的通报后,私隐公署展开了循规审查,并向该医疗中心提供以遵从《私隐条例》相关规定的建议。该医疗中心为其系统进行保安漏洞扫瞄、更新相关的软件及操作系统,以及每周定期为有关系统进行检查,以确保所有安装的软件均是最新版本。与此同时,该医疗中心承诺每年聘请独立网络安全公司为其系统进行保安审计。
借鉴
资料使用者使用过时的软件及操作系统可引致严重的安全漏洞。医疗机构持有大量属敏感性质的病人资料,因此应采取切实可行的措施,确保其系统没有安装过时或不受技术支援的软件,以减低遭受网络攻击的风险。医疗机构应定期进行漏洞扫瞄以识辨系统内潜在的保安漏洞,及适时进行修补。
上载日期:2023年2月