輔大醫院行政副院長龔家騏。輔大醫院提供
輔仁大學附設醫院驚傳離譜資安事件!一名周姓呼吸治療師不僅涉嫌盜用多名醫護同仁的帳號密碼,替自己投票競選工會代表,甚至更進一步透過遠端連線駭入醫院內部系統,非法瀏覽上萬筆病患與醫護人員的個資。對此,輔大醫院今(26)日表示,已立即啟動內部調查及帳號安全控管機制,全力配合司法單位進行偵辦,目前並無任何病患個人資料外洩,院方已經將涉案員工調離現職。
據《鏡週刊》報導,一名院內人士A先生爆料指出,事件發生於去年10月工會代表選舉期間,當時周姓治療師也參與登記參選。不料有同仁在投票時發現,系統顯示「已完成投票」,但該名同仁當時根本不在醫院。經調查後發現,共有6名休假中的員工帳號遭盜用,而所有投票都集中來自同一部院內公務電腦,時間點皆落在周男值大夜班期間,疑似為替自己拉票不擇手段。
院方持續追查後發現,周男竟還非法遠端登入院內資訊系統,瀏覽包含病患及同仁的敏感個資,甚至疑似涉及台灣第一名模林志玲家族的病歷資料。整起事件恐波及上萬筆個資,事態嚴重。
輔大醫院行政副院長龔家騏表示,院方對資訊安全與同仁權益一向高度重視。針對該事件,院方於知悉第一時間即向新北市調查處告發,並啟動內部調查與帳號安全管控機制,全力配合司法單位進行偵辦,積極提供相關證據與配合程序。
龔家騏指出,經院方資安單位盤點與司法單位調查結果,目前並無任何病患個人資料外洩之情勢,周姓呼吸治療師並未取得任何非其業務內容的病人個資,將持續進行後續監測與防護,確保個資安全無虞,請社會大眾安心,並強調院方已同步啟動資安強化措施,包括提升帳號與病歷存取權限管理制度、限制辦公設備外部連線、強化防火牆與異常行為監控等,以防杜類似情形再次發生。
龔家騏說明,院方深知此事件可能引發社會對醫療體系的信任疑慮,謹向所有關心輔大醫院的病友、捐款人、同仁及社會各界表達誠摯的歉意,將持續秉持正直、誠信原則,精進管理機制,致力營造員工心理上有安全感的職場環境,並全力提供病患安心且高品質的醫療照護服務。
衛福部資訊處長李建璋說,輔大醫院非衛福部資訊處直接管理的53家關鍵基礎醫院,屬於私人醫院,針對疑似有個資外洩事件,將由醫事司責成地方衛生局進行相關行政調查。
新北市衛生局回應,已針對本案進行相關行政調查,後續經查如有違反呼吸治療師法第16條「洩漏因業務而知悉或持有他人之秘密」者,可處新台幣2萬至10萬元罰鍰,或違反個人資料保護法規定洩漏他人資訊,處5萬至50萬元罰鍰。另醫院部分如查有未善盡督導之責,則依違反醫療法第57條,處5萬至25萬元罰鍰。