Skip to content

個案簡述

個案簡述

有關病歷資料的個案簡述

參考編號.:2017DB02

載有11,000名未經加密的病人資料的資訊科技系統遭入侵 — 保障資料第4原則 — 個人資料的保安

背景

一個政府部門向私隱公署通報,表示其資訊科技系統遭入侵。遭入侵的伺服器載有超過11,000個未經加密的臨時檔案,當中載有病人的個人資料,包括:姓名、香港身份證號碼、性別、病歷記錄及評估資料。在發現事件後,該部門立即停用該伺服器,並在其後的調查中發現只有少於4%的臨時檔案可能被黑客存取或下載。

根據該部門的調查,有關的臨時檔案是由一個程式設計介面所產生。由於程式故障,該些檔案在使用完成後沒有被立即銷毀。雖然該部門早於數個月前已得悉有關的程式故障,並已進行了第一批的檔案銷毀行動,但餘下的該些檔案仍可被入侵。

補救措施

在內部調查過程中,該部門找出了系統的保安漏洞並進行修復。同時,該部門在恢復使用其資訊科技系統前,對此進行了全面性的保安風險評估及私隱影響評估,並建議和制定了以下的長期措施以防止日後再發生類似事件:

  1. 為增強系統的保安,於一年內轉移其資訊科技系統至政府資訊科技總監辦公室提供的「電子政府基建服務」平台;
  2. 爭取使用資訊科技顧問服務,以增強其系統保安及監察;及
  3. 爭取資源強化內部資訊科技支援隊伍,以減少對外判商的依賴。

上載日期:2022年7月


個案種類 : 按條例規定/ 保障資料原則/ 實務守則/ 指引分類 : 按題目/內容分類: