近2000人醫療信息被外泄 斐瑞醫院被罰款5萬8000元
斐瑞醫院。(圖:谷歌街景)
因數據泄露導致近2000人的機密醫療信息被自動轉發給第三方,斐瑞醫院(Farrer Park Hospital)被罰款5萬8000元。
新傳媒英文新聞網CNA報道,根據個人資料保護委員會上周五(18日)發布的判決書,這起數據泄露事件從2018年3月進行到2019年10月25日,持續將近兩年,院方在2019年10月接獲投訴,卻在2020年7月才通報。
共有3539名患者的個人資料被外泄,其中1923人的醫療信息被泄露,但院方稱這些數據沒有遭到濫用。
報道指出,共9271則電郵從兩名斐瑞醫院職員的工作電郵帳號被轉發至第三方電郵網址。
這兩名員工在營銷部門工作,通過電郵處理對醫院醫療服務的請求。電郵內容包含患者的個人數據,包括他們的姓名、性別、身份證號碼、護照信息、聯絡號碼和醫療信息。醫療信息包括健康狀況、診斷、病史和醫療報告,如X光片。
當數據泄露在2018年3月首次發生時,院方還沒有實施多重身份驗證。一直到2019年10月24日,當其中的一名員工無法順利發送電郵時,技術部才發現這名員工的電郵帳號會自動將收到的所有電子郵件轉發給第三方。
對此,個人資料保護委員會認為,醫院未能實施合理的安全措施,以保護個人數據免受未經授權訪問和被外泄的風險。
委員會也說,斐瑞醫院應該採取更強有力的措施來管理營銷部門的工作電郵帳號,因為這個部門每天接收和處理大量敏感個人數據。
斐瑞醫院總裁劉森旺醫生告訴CNA,院方發現數據被泄露後,就立即通知了所有受影響病患。
「在那之後,我們已經加強了技術安全措施,並增加了內部網絡安全培訓和演習的頻率,我們醫院的運營也沒有受到影響。」
院方也在2020年2月到4月期間任命了一名私人取證專家,對網際網路和暗網進行了監控,並沒有發現任何個人數據被外泄。院方還稱,沒有接獲任何來自受影響病患的投訴。
不過,個人資料保護委員會表示,沒有個人數據被進一步濫用或外泄的證據,也不應該減輕對醫院的處罰。
