醫管局：外洩病人私隱不涉完整醫療紀錄 強調與黑客攻擊無關 已暫停所有供應商存取權限

醫院管理局九龍東醫院聯網本月初發生病人資料外洩事件，超過5.6萬名病人受影響。醫管局昨日強調，今次屬個別事件，所涉資料來自周邊系統，只包含有限的個人識別資料，不包括電話、地址等聯絡資料和完整醫療紀錄，強調事件與醫管局企業資訊科技系統無關，亦不涉及黑客攻擊。醫管局正就事件進行全面檢討，並即時採取措施，包括已暫停所有供應商的系統存取權限，系統的緊急維護工作均要在局方加強監察下進行，並會考慮禁止涉事系統承辦商的投標資格。●香港文匯報記者 張茗

醫管局資訊科技服務委員會主席邱達根昨日在記者會上指出，事件起因是一名外判服務供應商的員工涉嫌違反合約要求，在進行系統維護期間非法下載並盜取病人資料，再上載至第三方平台，其行為嚴重違反專業操守。

考慮禁涉事承辦商投標資格

他形容事件屬於個別員工誠信操守的嚴重問題，局方會嚴肅跟進，包括考慮禁止涉事承辦商的投標資格，並全面審視與第三方承辦商的合約關係，而調查完結後會嚴肅處理，若有任何責任要承擔，亦會跟進到底。

醫管局資訊科技主管張淑英重申，今次事件不涉及黑客攻擊，發生資料外洩的並非醫管局的中央臨床系統，而是一個由承辦商開發以及維護、用作支援手術程序的文書工具系統，屬於周邊系統，與醫管局企業資訊科技系統互相隔離，因此不涉及病人的完整醫療紀錄，外洩的只包含有限度的個人識別資料，不包括聯絡方式如電話、地址等，亦不影響醫療影像系統如電腦斷層掃描及磁力共振掃描等設備。她強調會不斷更新及完善系統，並會全方位檢視合約和監控等方面的情況，以嚴密保障私隱。

醫管局資訊科技服務委員會委員林偉喬指出，醫管局的中央臨床系統保安非常嚴密，由內部團隊研發管理，不論設計、監測及存取控制，均屬最高標準，完全符合政府資訊保安要求。

至於周邊系統，則受合約條款監管，其保安程度與中央臨床系統不同。他直言資訊保安並沒有百分百安全，乃是按不同風險進行管理，視乎系統的重要性、有否敏感資料和實際風險而作出相稱的保安和防護安排，並形容這有如市民會將貴重財物存放於保險箱，而日常物品放在錢包，自然較易被盜用，這是務實的風險管理，目的是在資源運用、運作需要以及保安需要三方面取得最合理平衡。

已迅速採取多項措施

醫管局總系統經理（資訊科技策略與企業架構）王昱表示，事件發生後，醫管局已迅速採取多項措施，包括全面收緊所有外判供應商的系統存取權限，暫停非必要維護工作，至於緊急維修則需要由醫管局人員全程監測，包括進行錄影記錄等，以確保在維護過程中沒有多餘數據流出。同時，所有系統會展開保安掃描及檢視，排查潛在的漏洞；以及透過全天候保安運作中心偵測異常行為，而該中心結合人工智能工具和專業分析人員，每日24小時監測網絡安全情況，提升數據洩露預警的效率。

醫管局強調會持續推展長遠改善措施，包括全面檢視和提升供應商保安管理機制，並提升系統保安與監察能力，以及強化系統存取控制、異常活動監測及預警機制，並以人工智能協助提升全天候保安監察和應變能力，局方並會持續檢視資料存取、處理和傳輸安排，加強敏感資料保護。局方並會定期進行保安評估及演練，包括第三方協助審計系統。

對於會否公布涉事供應商的名稱，醫管局則表示由於警方調查仍在進行中，暫時不便披露詳細的信息。