個案簡述

學會誤信仿冒詐騙電郵導致6,131名會員資料外洩 — 保障資料第4原則 — 個人資料的保安

背景

一間學會向私隱公署通報，該學會不慎地應一封仿冒詐騙電郵的要求而洩漏了會員的個人資料。該電郵看似來自該學會的行政總裁，要求索取會員資料。該學會不疑有詐，向該仿冒詐騙電郵的來件者發送一份載有6,131名會員的姓名、勳銜及電郵地址的名單。

該學會解釋，該仿冒詐騙電郵要求把有關資料傳送到兩個指定的電郵地址，其中一個是行政總裁的官方電郵地址，另一個看來是他的私人電郵地址。基於收到有關要求的職員相信其行政總裁急切需要有關資料，因此才遵從該要求而導致資料外洩。該學會再解釋，雖然載有會員資料的資料庫已受密碼保護及加密，但在事件中從資料庫所產生的名單，是沒有受到任何措施保護的。

補救措施

該學會因應事件採取了下述補救行動，防止日後再發生類似事件：

1. 要求所有職員以電郵通訊時須用密碼保護載有個人資料的檔案及限制他們使用私人電郵帳戶進行與業務有關的事宜；
2. 提醒所有職員嚴格遵守其「資訊保安政策」及「可接受使用政策」所規定的要求；
3. 提供培訓以加強職員對資訊科技保安的意識；及
4. 聘請外間資訊科技顧問，提供持續的保安監控及對資訊科技和保障資料事宜的意見。

上載日期：2022年7月