醫療保健資料被盜取的情況,遠較預期普遍。Verizon 最新發表的《2015年受保護醫療保健資料外洩報告》指出,20 個接受研究的行業之中,有18個行業受到影響。可是, 護理業以外的機構,大部分甚至連自己擁有這類數據都不自知。 受保護的醫療保健資料通常來自員工紀錄(包括僱員索償) 或保健計劃,這些資料一般都不會受高度保護。
以上發現是 Verizon 的數據外洩調查報告(DBIR) 團隊首份分析已確定的受保護醫療保健資料(PHI)外洩個案報告的其中一部分,當中涉及超過 3.92 億項紀錄和發生在全球 25 個國家的 1,931 宗事件。
高級保安分析師及 Verizon Enterprise Solutions 報告的主要作者Suzanne Widup 表示:「很多機構都未有採取足夠措施,保護這些極敏感及機密數據,這可能會導致嚴重後果, 除了影響個人及其家人之外,還會增加政府、機構和個人的醫療保健 成本。況且,時下的網絡罪犯都覬覦受保護的醫療保健資料。」
根據報告引述的近期研究顯示,有些人因為擔心醫療保健資料外洩, 故向醫療保健服務供應商隱瞞某些重要資料。Widup 補充說:「醫療保健機構必須明白, 病人相信他們會保護自己的資料,一旦喪失了這種信任關係, 影響可以極為深遠。」例如報告指出,如果人們不願意披露所有資料, 可能會延誤傳染病的診斷。對於遭受社會標籤的疾病,影響更甚。
PHI 外洩與其他類別的資料外洩有何分別
PHI 外洩,與 DBIR 以往研究的數據外洩有三大分別。 其一是由誰人外洩。在 PHI 外洩事件中, 內部和外部洩密者的數目幾乎相等,其差別僅為5%, 這表示內部人員濫用資料的情況極為普遍。
根據報告的發現顯示,盜用醫療紀錄往往是出於用心不良。 洩密者多數是盜取信用卡和社會保障編號這類可識別個人身份資料( PII),用以干犯金融罪案和瞞稅。
其二,資料外洩的方式也顯著不同。醫療保健資料外洩主要是因為手提裝置(手提電腦、平板電腦和記憶棒)被盜, 其次是將醫療報告誤送至非當事人,或遺失手提電腦等的人為錯誤。 第三種誤用方式是僱員濫用資料閱覽權。此三種方式佔所有 PHI 數據外洩的 86%。
其三, 大部分資料外洩個案都是在事發後數月甚至數年後才得以被發現。 跟一般外洩個案比較, 醫療保健資料外洩有三倍機會由內部人員濫用區域網閱覽特權導致, 並有兩倍較大機會可能是透過攻擊伺服器(特別是數據庫) 盜取資料。