2019年1月14日,新加坡个人资料保护委员会发布了 决定依据 反对新加坡卫生服务私人有限公司。有限公司(SingHealth)和综合健康信息系统私人有限公司。 Ltd.(IHiS)提出了“新加坡历史上最严重的个人数据违规行为”。

SingHealth的患者数据库系统受到前所未有的网络攻击,导致150万患者的个人数据和近16万患者的门诊处方记录被泄露。

该委员会收到了来自公众的几起有关此数据泄露的投诉,此后开始调查。

该案的事实如下:

  • SingHealth是新加坡公共医疗保健部门的三个医疗保健集群之一。 IHiS是新加坡公共医疗保健部门的中央国家信息技术(IT)机构。
  • SingHealth使用日出临床经理系统(SCM),这是一种由IHiS管理的电子病历软件解决方案,SingHealth员工积极地将其用于患者护理和管理。 SCM包含超过500万个人的患者病历,包括以下类型的个人数据:

(a)患者资料(姓名,国家注册身份证号码,地址,性别,种族和出生日期);

(b)临床发作信息(例如,事故和紧急情况,急诊和门诊数据);

(c)实验室,放射学,心脏病学,药物和护理令;

(d)诊断测试和命令的结果;

(e)医生,护士和/或康复机构的临床证明文件;

(f)生命体征,例如血压,脉搏;

(g)医疗警报和过敏;

(h)诊断和健康问题;

(i)疫苗接种细节;

(j)排放摘要;

(k)医疗证明;和

(l)已分配门诊用药(以及相关的患者统计信息)。

  • 该网络攻击者于2017年8月通过感染用户的工作站来初步访问SCM网络,很可能是通过电子邮件网络钓鱼攻击导致了在工作站上安装和执行恶意软件和黑客工具。
  • 通过自定义恶意软件,该恶意软件在2017年12月至2018年5月之间感染并获得了对其他工作站的远程访问和控制,攻击者获得了对本地管理员帐户和另一个服务帐户的访问权限。然后,攻击者便能够访问和控制位于公共医疗机构之一的Citrix服务器。但是,攻击者仍然没有使它能够登录SCM数据库的凭据。因此,攻击者使用无效的凭据多次尝试访问它。 2018年6月26日,攻击者成功获取了SCM数据库的登录凭据,然后使用其中一台受感染的Citrix服务器访问SCM数据库。
  • IHiS的安全事件响应经理已收到IHiS工作人员观察到的可疑情况的通知。 SingHealth的首席信息安全官也已获悉有关事件,但未作进一步询问。双方都没有将此事升级。因此,IHiS高级管理层和SingHealth的集团首席信息官仅在2018年7月9日晚上才收到有关这次攻击的警报。

该委员会的调查结果如下:

  • 根据包括其数据保护政策在内的几份政策文件,IHiS是SingHealth和三个集群中所有其他医疗机构的数据中介。根据《个人数据保护法》(PDPA)第4(3)节的规定,雇用数据中介机构代表其处理个人数据的组织,就其目的而言,对处理此类数据的义务与处理其数据本身。因此,根据PDPA第24条,SingHealth和IHiS都有义务做出合理的安全安排以保护患者拥有或控制的患者个人数据。
  • 该委员会重申,尽管组织可以将工作外包给供应商,但不能将履行PDPA规定的法定义务的责任下放。换句话说,SingHealth的“主要角色和责任是确保对其拥有或受其控制的个人数据进行全面保护,即使它已经雇用了负责保护个人数据的数据中介也”。
  • 该委员会强调签订合同的重要性,该合同规定了数据中介机构保护组织的个人数据的义务和责任,以及各方保护个人数据的各自的角色,义务和责任。其他司法管辖区也强调了合同的必要性,即在香港隐私委员会发布的有关将个人数据处理外包给数据处理者的信息手册中,以及加拿大隐私保护和商业外包指南中隐私权委员会。
  • 在评估SingHealth和IHiS各自是否通过合理的安全安排履行了其在PDPA第24条下的义务时,委员会考虑了其关于PDPA关键概念的咨询指南中规定的以下因素(于2017年7月27日修订) ):

(a)个人资料的性质;

(b)收集个人数据的形式(物理或电子形式);和

(c)未经授权的人获得,修改或处置了个人数据可能对有关个人造成影响。

  • 委员会确定SCM数据库包含所有SingHealth患者的完整病历,即“非常敏感的个人信息”。委员会援引其针对医疗保健行业的咨询准则(于2017年3月28日更新)指出,该数据“被视为更加机密”,并且“如果不经意访问此类个人数据(例如,与敏感的医疗条件),因此“应采用更严格的安全安排”,“保护此类医疗记录的安全性和机密性至关重要”。
  • SingHealth的首席信息安全官未能遵守组织的各种事件响应政策和标准操作程序。更具体地说,即使他被告知可疑活动表明SCM多次登录尝试均失败,他也没有升级这些安全事件,而且“这远远低于一个合理的人对他所处位置的人的期望”。 SingHealth的集团首席信息官和首席信息安全官的行为,尤其是不遵守标准操作程序的行为,是SingHealth的安全安排不足的象征,应归因于SingHealth本身。
  • 此外,尽管SingHealth通过监督和审核机制以及董事会和管理委员会对IHiS的ICM的IT运营和安全性进行了监督,但仍未采取足够的安全措施来保护SCM数据库中的个人数据。
  • 就IHiS而言,它自己承认,SingHealth的网络以及被攻击者利用的IHiS系统和过程中存在许多漏洞和漏洞。此外,委员会指出,IHiS定期代表新加坡的公共医疗机构处理大量敏感的个人数据。因此,其策略和实践以及它们的实施和实施方式是不够的,尤其是在Citrix服务器的管理中。
  • 此外,没有采取足够的步骤来确保按预期方式采取保护个人数据的技术措施,并且未纠正或未及时解决以前标记为IHiS的漏洞。
  • PDPA并不要求组织为拥有或受其控制的个人数据提供绝对保证,但是即使如此,IHiS仍未采取合理的人认为适当的措施来防止数据泄露。这个案例。
  • 该委员会发现,SingHealth和IHiS均违反了《个人资料保护法》第24条,并指示SingHealth支付25万新元的罚款和IHiS罚款750,000新元。

励德史密斯律师事务所(Reed Smith LLP)被许可在新加坡从事外国法律业务,名称和样式为励德史密斯私人有限公司(以下简称“励德史密斯私人有限公司”),“Reed Smith”). Where advice 上 Singapore law is required, we will refer the matter to and work with 技术与法度’必要时,新加坡正式法律联盟的合伙人Resource 法 LLC。