拥有多家医院及综合诊所的国立健保集团(NHG),因为泄漏129名合作医生的个人资料,被罚款6000元。
根据新加坡个人资料保护委员会(PDPC)副专员杨子健(Zee Kin Yeong)于周四(1月9日)宣布,国立健保集团没有制定出合理的安全措施,以便保护个人数据,并且在知晓出现未经授权的网络用户入侵问题超过一年后,当局也没有进行漏洞修复工作。
个资保护委会指出,一名私人全科医生(GP, General Practitioner)于2018年2月7日签署成为该集团的合作医生后,曾在谷歌搜索自己的名字时,偶然发现一份,包含该集团一些合作医生个资的名单。
名单中包括了129名通过网上申请,注册成为该集团合作医生的个人资料,如身份证号码、全名、手机号码、邮寄地址、出生日期以及照片。
另外,五名曾透过网站做出反馈的民众的全名和地址,以及其中三人的手机号码也在列表中。
但是,未经授权的用户不应该能够获得有关资料。
指责集团在知晓纰漏一年后未修补
个资保护委会指出,一家供应商曾于2016年年中受雇,以便为国立健保集团的网站进行网络渗透测试,已将有关网络列表没有限制访问者列为漏洞。
然而,一直到该名私人全科医生在谷歌搜寻自己的名字,发现并知会集团有关纰漏前,集团并没有解决有关问题。
杨子健指出,国立健保集团表示基于供应商在网络渗透测试报告中,并没有充分强调有关的漏洞,因此疏忽了。
“这并非一个令人满意的借口。”
杨子健指出,在有关渗透报告中,调查结果和建议会是首个被列出来,并且以通俗易懂的语言记录的事项。
他引用《个人资料保护法令》第24条文,要求集团通过合理的安全步骤或安排,以便防止未经授权的资料阅览、收集、使用、发布、复制、修改、删除或类似风险。
他随后披露,国立健保集团在2018年2月7日接获有关时间通知后,立刻采取快速补救措施,并通知受事件影响的人士,也充分配合调查。