ข้อมูลผู้ป่วย แฮกข้อมูลผู้ป่วย โรงพยาบาลเพชรบูรณ์
NEWS

สธ. ชี้แจง กรณีแฮกข้อมูลผู้ป่วย นำไปประกาศขายในโลกออนไลน์

มีผู้ไม่หวังดีนำข้อมูลของผู้ป่วยโรงพยาบาลเพชรบูรณ์ ไปประกาศขายในโลกออนไลน์ เมื่อวันที่ 5 ก.ย.64

Home / NEWS / สธ. ชี้แจง กรณีแฮกข้อมูลผู้ป่วย นำไปประกาศขายในโลกออนไลน์
NEWS |

ประเด็นน่าสนใจ

  • มีผู้ไม่หวังดีนำข้อมูลของผู้ป่วยโรงพยาบาลเพชรบูรณ์ ไปประกาศขายในโลกออนไลน์ เมื่อวันที่ 5 ก.ย.64
  • กระทรวงสาธารณสุข เผยข้อมูลที่ได้ไปนั้นไม่ได้เป็นข้อมูลการรักษาของคนไข้ เป็นข้อมูลที่แยกออกมาทำเว็บเฉพาะบางส่วนเท่านั้น
  • เบื้องทางโรงพยาบาลได้มีการตัดการเชื่อมต่อจากภายนอกแล้ว มีการตั้งคณะกรรมการลงไปตรวจสอบข้อเท็จจริงและมีการประเมินความเสียหาย

วันนี้ (7 ก.ย.64) นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข กล่าวว่า กรณีโรงพยาบาลเพชรบูรณ์ มีผู้ไม่หวังดีนำข้อมูลของผู้ป่วยไปประกาศขายในโลกออนไลน์ เมื่อวันที่ 5 ก.ย.64 ภายหลังเกิดเหตุและทราบข้อมูล ทางกระทรวงฯ ได้มีการตั้งคณะกรรมการลงไปตรวจสอบข้อเท็จจริงและมีการประเมินความเสียหายในเบื้องต้นแล้ว

โดยข้อมูลที่ได้ไปนั้น ไม่ได้เป็นข้อมูลที่อยู่ในระบบฐานข้อมูลในการบริการคนไข้ปกติของโรงพยาบาล ซึ่งเป็นฐานข้อมูลลับ ณ วันนี้ทางโรงบาลยังสามารถดูแลคนไข้ได้อย่างปกติ โดยฐานข้อมูลที่ได้ไปนั้น เป็นฐานข้อมูลที่เจ้าหน้าที่ได้ทำโปรแกรมขึ้นมาใหม่ เพื่ออำนวยความสะดวกกับเจ้าหน้าที่ในการที่จะดูแลคนไข้ ไม่เกี่ยวข้องกับฐานข้อมูลการวินิจฉัยโรค การรักษา หรือข้อมูลผลแลปใด ๆ ทั้งสิ้น เป็นข้อมูลที่เจ้าหน้าที่นำไปแปะไว้กับเซิฟเวอร์ของโรงพยาบาล

ซึ่งเป็นข้อมูลรายชื่อคนไข้จำนวน 10,095 ราย แต่ไม่มีรายละเอียดการรักษา แต่เพียงชื่อ-นามสกุล เบอร์โทรศัพท์ และสิทธิการรักษาของคนไข้เท่านั้น ยืนยันว่าระบบของโรงพยาบาลสามารถดำเนินการได้ปกติ โดยได้ตรวจสอบถึงความเสี่ยงและมีการแบ็กอัปข้อมูลทั้งหมด ซึ่งได้รับความร่วมกับทาง สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และกระทรวงดิจิทัลฯ

ทางด้านนายแพทย์อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กล่าวว่า เซิฟเวอร์ที่ถูกโจมตีเป็นเซิฟเวอร์ที่แยกออกมา ไม่มีการบุกรุกไปยังเซิฟเวอร์ตัวอื่น โดยโรงพยาบาลได้มีการใช้โปรแกรมที่เป็น OpenSource ซึ่งจะต้องเชื่อมต่ออินเตอร์เน็ต

จุดตรงนี้อาจเป็นจุดอ่อนที่ทำให้แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้ ทั้งนี้ทางโรงพบาลได้มีการตัดการเชื่อมต่อจากภายนอกแล้ว โดยผู้กระทำการไม่ได้มีการเรียกผลประโยชน์จากทางโรงพยาบาลแต่อย่างใด แต่เพียงนำข้อมูลดังกล่าวไปประกาศขายในโลกโซเชียล

นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ กล่าวว่าสำหรับการคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ ซึ่งมี พ.ร.บ.สุขภาพแห่งชาติ พ.ศ.2550 ตามมาตรา 7 ซึ่งมาตรานี้ระบุไว้ชัดเจนว่า ข้อมูลสุขภาพส่วนบุคคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยจนทำให้เกิดความเสียหายต่อข้อมูลส่วนบุคคลนั้นไม่ได้ เว้นแต่เป็นการเปิดเผยจากความยินยอมของบุคคลนั้น ๆ หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย

ทั้งนี้ข้อมูลด้านสุขภาพเป็นข้อมูลส่วนบุคคลถึงเป็นความลับ จากกรณีดังกล่าวอาจทำให้เกิดความเสียหายต่อผู้ป่วยได้ ซึ่งการกระทำในลักษณะนี้หากมีความเสียหายเกิดขึ้น ถือเป็นการละเมิดสิทธิส่วนบุคคล ในมาตรา 49 ระบุไว้ว่า มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 10,000 บาท หรือทั้งจำทั้งปรับ