一間教育機構因密碼管理欠佳而導致未獲授權查閱學生和家長的個人資料 — 保障資料第4原則 — 個人資料的保安
背景
一間教育機構向私隱專員公署通報,指他們的資訊管理系統遭黑客利用暴力攻擊獲取了管理員密碼,並建立了具有管理權限的新帳戶,以查閱當中的個人資料。事件影響超過24,000名家長及學生用戶的個人資料。該機構調查後發現,是次事故源於密碼管理欠佳,未有採取行業最佳做法保護管理員帳戶所致。
補救措施
收到該機構的通報後,私隱專員公署展開循規審查,並就《私隱條例》的相關規定向該機構提供建議。就此,該機構採取了補救措施,包括為其資訊管理系統採用雙重認證功能為系統帳戶提供額外的保護、設定高強度密碼、定期清理不必要的帳戶,以及透過加強培訓提高員工的資料保障意識。
借鑑
基於行政和教學用途,教育機構通常會持有大量關於學生及學生家長的個人資料。越來越多教育機構採用網上學習模式,當這些機構利用資訊科技帶來方便的同時,不應忽視隨之而來的私隱風險,特別是關乎兒童及青少年的個人資料。機構管理個人資料系統需加強警惕,制定適當的系統安全政策、措施和程序(例如善用多重認證功能及採用合適的密碼管理政策),以減低個人資料遭未獲准許的或意外的查閱、處理、刪除、喪失或使用的風險。
上載日期:2024年2月