CEO Blog

เมื่อศูนย์การแพทย์ถูกฟ้องหลังทำ ‘ข้อมูลรั่วไหล’

By นักรบ เนียมนามธรรม04 ต.ค. 2021 เวลา 15:23 น.
เมื่อศูนย์การแพทย์ถูกฟ้องหลังทำ ‘ข้อมูลรั่วไหล’

ธุรกิจด้านสุขภาพควรมีมาตรการรักษาความปลอดภัยของข้อมูลทั้งในส่วนของระบบและบุคลากร

ข้อมูลสุขภาพนั้นควรเก็บเป็นความความลับ และเป็นสิ่งที่ไม่ควรให้ใครรู้โดยไม่จำเป็น ไม่ว่าจะเป็น อะไรที่คุณแพ้ โรคที่คุณเป็น ยาที่คุณทาน ชื่อแพทย์ประจำตัว ประวัติสุขภาพของคุณ 

เนื่องจากในบางสถานการณ์สิ่งเหล่านี้ถือเป็นจุดอ่อนของเจ้าของข้อมูล จึงไม่ควรให้ผู้ที่ไม่ได้เกี่ยวข้องทราบ แต่จะทำอย่างไรถ้าศูนย์การแพทย์ที่คุณรับการรักษาเป็นฝ่ายทำข้อมูลของคุณรั่วไหล เรื่องนี้เกิดขึ้นและมีการฟ้องร้องกันแล้วครับที่รัฐแคลิฟอร์เนียในสหรัฐ

ไม่กี่เดือนที่ผ่านมา UC San Diego Health ศูนย์การแพทย์ชื่อดังในสหรัฐ ได้ออกมาเปิดเผยกรณีข้อมูลรั่วไหลที่เป็นเหตุให้ข้อมูลของผู้ป่วย พนักงาน นักศึกษา รวมแล้วเกือบ 5 แสนคนถูกละเมิด 

จากรายงานระบุว่า บัญชีอีเมลของพนักงานบางส่วนถูกเข้าถึงโดยผู้ที่ไม่ได้รับอนุญาตตั้งแต่ 2 ธ.ค.2563 จนถึง 8 เม.ย.2564 การรั่วไหลครั้งนี้เกิดขึ้นหลังบัญชีอีเมลของพนักงานตกเป็นเหยื่อการโจมตีแบบฟิชชิ่ง และระบบตรวจพบพฤติกรรมน่าสงสัยเมื่อ 12 มี.ค.2564 ก่อนจะปิดอีเมลที่ถูกละเมิดในวันที่ 8 เม.ย.2564

ข้อมูลที่ถูกเข้าถึงและรั่วไหลประกอบไปด้วย ชื่อ-นามสกุล ที่อยู่ วันเกิด อีเมล หมายเลขโทรสาร ข้อมูลการเคลมต่างๆ ที่ระบุวันที่และค่าใช้จ่าย ผลตรวจจากห้องปฏิบัติการ ทั้งยังมีข้อมูลอื่นๆ ที่อาจรวมถึงการวินิจฉัยโรคและคำแนะนำทางการแพทย์ หมายเลขเวชระเบียน ข้อมูลใบสั่งยา 

ข้อมูลการรักษา หมายเลขประกันสังคม หมายเลขประจำตัวประชาชน หมายเลขบัญชี หมายเลขประจำตัวนักศึกษา ชื่อผู้ใช้งานและรหัสผ่านของกลุ่มย่อยจากชุมชนผู้ป่วย นักศึกษา และพนักงานทาง UC San Diego Health ได้แจ้งผู้เสียหาย 495,949 รายที่สามารถติดต่อได้ว่า พวกเขาอาจได้รับผลกระทบจากการละเมิดครั้งนี้ในวันที่ 7 ก.ย.

สำนักข่าว San Diego Union-Tribune รายงานว่า ทนายความที่เป็นตัวแทนของผู้ป่วยโรคมะเร็งจากเมือง El Cajon ได้ยื่นฟ้อง UC San Diego Health เกี่ยวกับเหตุการณ์การละเมิดข้อมูลไปเมื่อสัปดาห์ที่แล้ว โดยโจทก์กล่าวว่า UC San Diego Health ละเมิดสัญญา ประมาท และละเมิดความเป็นส่วนตัวของผู้ใช้บริการในรัฐแคลิฟอร์เนีย 

ตลอดจนละเมิดกฎหมายการรักษาความลับทางการแพทย์ ซึ่งทนายความได้กล่าวว่า เรื่องนี้สามารถป้องกันได้หาก UC San Diego Health มีมาตรการป้องกันข้อมูลที่ดี โจทก์ยังกล่าวอีกว่า UC San Diego Health ล้มเหลวในการฝึกอบรมพนักงานถึงวิธีการหลีกเลี่ยงการโจมตีแบบ Phishing และละเลยการดำเนินงานตามหลักปฏิบัติด้านการรักษาความปลอดภัยที่เหมาะสม

การฟ้องร้องนี้กำลังอยู่ในขั้นตอนการดำเนินคดีแบบกลุ่ม (Class-action) และหาข้อมูลเพิ่มสำหรับความเสียหายที่ไม่สามารถระบุรายละเอียดได้ของผู้เสียหายทั้งหมด ที่ข้อมูลทางการแพทย์และข้อมูลส่วนบุคคลของพวกเขาอาจถูกเผยแพร่ไปยังผู้ที่ไม่เกี่ยวข้อง

กลุ่มธุรกิจด้านสุขภาพนั้นถือครองข้อมูลส่วนบุคคลที่ผู้ป่วยต้องให้เพื่อรับการรักษา ดังนั้นจึงควรตระหนักถึงความเสี่ยง และควรมีมาตรการรักษาความปลอดภัยของข้อมูลทั้งในส่วนของระบบและบุคลากร 

กรณีนี้เรายังต้องติดตามต่อไปว่า บทลงโทษ ค่าปรับ จะมากมายมหาศาลเช่นไร ซึ่งนี่อาจเป็นตัวอย่างให้กลุ่มธุรกิจด้านสุขภาพในไทยของเราได้ทราบครับว่า เมื่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลถูกบังคับใช้ในปี 2565 พวกเขาจะได้รับความเสียหายอย่างไรบ้างถ้ายังไม่รีบเตรียมพร้อมระบบและฝึกอบรมบุคลากรไว้ให้ได้มาตรฐานตั้งแต่ตอนนี้