護理業甚至不知擁有保健數據：九成行業遭受病人資料外洩影響

醫療保健資料被盜取的情況，遠較預期普遍。剛剛 Verizon 發表的「2015 年受保護醫療保健資料外洩報告」便指出，20 個接受研究的行業之中，有 18 個行業受到影響。可是，護理業以外的機構，大部分甚至連自己擁有這類數據都不自知。受保護的醫療保健資料通常來自員工紀錄（包括僱員索償）或保健計劃，這些資料一般都不會受高度保護。

以上發現是數據外洩調查報告（DBIR）團隊首份分析已確定的受保護醫療保健資料（PHI）外洩個案報告的其中一部分，當中涉及超過 3.92 億項紀錄和發生在全球 25 個國家的 1,931 宗事件。

高級保安分析師及報告的主要作者 Suzanne Widup 表示：「很多機構都未有採取足夠措施，保護這些極敏感及機密數據，這可能會導致嚴重後果，除了影響個人及其家人之外，還會增加政府、機構和個人的醫療保健成本。況且，時下的網絡罪犯都覬覦受保護的醫療保健資料。」

根據報告引述的近期研究顯示，有些人因為擔心醫療保健資料外洩，故向醫療保健服務供應商隱瞞某些重要資料。

Widup 補充說：「醫療保健機構必須明白，病人相信他們會保護自己的資料，一旦喪失了這種信任關係，影響可以極為深遠。」

例如報告指出，如果人們不願意披露所有資料，可能會延誤傳染病的診斷。對於遭受社會標籤的疾病，影響更甚。

PHI 外洩與其他類別的資料外洩有何分別

PHI 外洩，與 DBIR 以往研究的數據外洩有三大分別。其一是由誰人外洩。在 PHI 外洩事件中，內部和外部洩密者的數目幾乎相等，其差別僅為 5%，這表示內部人員濫用資料的情況極為普遍。

根據報告的發現顯示，盜用醫療紀錄往往是出於用心不良。洩密者多數是盜取信用卡和社會保障編號這類可識別個人身份資料（PII），用以干犯金融罪案和瞞稅。

其二，資料外洩的方式也顯著不同。醫療保健資料外洩主要是因為手提裝置（手提電腦、平板電腦和記憶棒）被盜，其次是將醫療報告誤送至非當事人，或遺失手提電腦等的人為錯誤。第三種誤用方式是僱員濫用資料閱覽權。此三種方式佔所有 PHI 數據外洩的 86%。

其三，大部分資料外洩個案都是在事發後數月甚至數年後才得以被發現。跟一般外洩個案比較，醫療保健資料外洩有三倍機會由內部人員濫用區域網閱覽特權導致，並有兩倍較大機會可能是透過攻擊伺服器（特別是數據庫）盜取資料。

2015 年受保護健康資料外洩報告

「受保護醫療保健資料外洩報告」是數據外洩調查報告（DBIR）系列的其中一部分。該報告以真實個案為基礎，是業內同類報告中最全面的，當中分析受保護醫療保健資料的外洩情況，並將重點放於健康護理業上，包括非住院醫療保健服務、醫院、醫護和住院護理，以及北美、歐洲和亞太區的社會援助。

報告載述的事件由以下機構提供：安達集團；電腦緊急應變團隊內部威脅中心；CrowdStrike、德勤；荷蘭國家高科技罪案組、G-C Partners、LLP；卡巴斯基實驗室；Mishcon de Reya；NetDiligence；以及美國特勤局。該研究亦包括美國衛生及公眾服務部的數據庫（至少影響 500 人的事件）和美國退伍軍人事務部根據 VERIS 社區數據庫計劃向美國國會滙報的大量事件。