載有11,000名未經加密的病人資料的資訊科技系統遭入侵 — 保障資料第4原則 — 個人資料的保安
背景
一個政府部門向私隱公署通報,表示其資訊科技系統遭入侵。遭入侵的伺服器載有超過11,000個未經加密的臨時檔案,當中載有病人的個人資料,包括:姓名、香港身份證號碼、性別、病歷記錄及評估資料。在發現事件後,該部門立即停用該伺服器,並在其後的調查中發現只有少於4%的臨時檔案可能被黑客存取或下載。
根據該部門的調查,有關的臨時檔案是由一個程式設計介面所產生。由於程式故障,該些檔案在使用完成後沒有被立即銷毀。雖然該部門早於數個月前已得悉有關的程式故障,並已進行了第一批的檔案銷毀行動,但餘下的該些檔案仍可被入侵。
補救措施
在內部調查過程中,該部門找出了系統的保安漏洞並進行修復。同時,該部門在恢復使用其資訊科技系統前,對此進行了全面性的保安風險評估及私隱影響評估,並建議和制定了以下的長期措施以防止日後再發生類似事件:
上載日期:2022年7月