在香港,甚至世界各地,醫療保健的資料外洩一向鮮少被關注,但事實上,這些資料紀錄了我們詳盡的個人信息,可用作假冒身份和詐騙醫療費用,因此遭不少罪犯覬覦。Verizon最新發表的「2015年受保護醫療保健資料外洩報告」顯示,各行業的受保護醫療保健資料通常來自員工紀錄(包括僱員索償)或保健計劃,當中護理業以外的機構,大部分都不知道自己擁有此類醫療保健數據,因此這些資料一般不會受高度保護。
PHI外洩影響美國近半數人
受保護醫療保健資料(PHI)外洩報告是Verizon的數據外洩調查報告(DBIR)系列的其中一部分,是次報告涉及超過3.92億項紀錄和發生在全球25個國家共1,931宗事件。在接受研究的20個行業當中,便有18個牽涉PHI外洩的問題。PHI外洩問題在本港的影響程度暫時不明,但報告指出自2009年以來,美國有接近半數人口一直遭受PHI外洩的影響。為此,聯邦調查局於2015年初曾向醫療保健服務供應商發出警告,指醫療保健業無法像金融業和零售業一樣靈活應對網絡入侵,因此增加被盜取資料的可能性。
內部人員濫用資料情況嚴重
PHI外洩的事件有幾個特點,第一是洩密者的身分。報告指出,去年PHI外洩事件中,內部和外部洩密者的數目幾乎相等,相差僅為5%,亦表示內部人員濫用資料的情況嚴重。同時,外洩醫療紀錄的人員往往立心不良,目的多為盜取信用卡和社會保障編號這類可識別個人身份資料(PII),用以干犯金融罪案及瞞第二,資料外洩的途徑以手提裝置為主。PHI外洩主要因手提電腦、平板電腦及USB記憶體被盜,其次是內部人員將醫療報告誤送非當事人,或遺失手提電腦等人為錯誤。另外一種則是內部人員濫用閱覽權,以上3種方式佔所有PHI外洩的86%。
第三,PHI外洩發現時間較遲,大部分個案都是在事發後數個月甚至數年後才被揭發。而且,跟一般外洩個案比較,PHI外洩有3倍機會由內部人員濫用區域網閱覽特權導致,並有兩倍機會可能是透過攻擊伺服器,尤其是數據庫盜取資高級保安分析師及Verizon Enterprise Solutions報告的主要作者Suzanne Widup表示:「很多機構都未有採取足夠措施,保護這些極敏感及機密數據,這可能導致嚴重後果,除了影響個人及其家人之外,還會增加政府、機構和個人的醫療保健成本。況且,時下的網絡罪犯都對受保護的醫療保健資料虎視眈眈。」
報告更引述近期研究顯示,有些人因為擔心醫療保健資料外洩,曾向醫療保健服務供應商隱瞞某些重要資料。一旦大眾不願意向醫療保健機構披露所有資料,可能會延誤傳染病的診斷,對於遭受社會標籤的疾病,影響更甚。
沒有留言:
發佈留言