【商報專訊】記者鄺偉成報道：就醫管局轄下個別醫院近來發生多宗遺失載有病人資料的活動式電子儲存裝置(USB)事件，香港個人資料私隱專員公署對該局的個人資料系統進行視察后，直指該局對保障病人資料措施不足，提出了37項建議，促請醫管局改善有關問題。

    私隱專員吳斌昨日公布視察結果時指出，視察在律敦治及鄧肇堅醫院進行，對該兩院對保障病人資料系統管理和保安工作作出調查。并抽查百多名不同部門員工；結果顯示，員工可以隨時拿到病人的資料，但對保障病人資料的意識不足，屬人為的錯失。

    缺乏系統安全審核及統籌

    至於在保安政策及措施上，吳斌指文件重疊不清晰，缺乏系統性，又不必要地使用身份證號碼作配對用途，使用手提電子儲存裝置的政策不足，又未有訂立明確合約條款，要求有關資料科技員工遵守保安規定，醫管局缺乏有系統的病人資料安全審核及統籌。

    吳斌在報告中向醫管局提出了37項建議，包括應有系統地制訂、檢討更新資料保安政策及措施，并有效地傳遞予醫管局員工；清楚界定醫管局聯網委員會的職能，并加強資料管控員的職能，以保障病人資料的安全。另外，醫管局應加強保安措施，以減低未經准許或意外查閱病人資料的風險，建議以識別代號代表身份證號碼；醫管局又應制訂有系統的資料保安審核方法，讓所有醫院遵行。此外，要嚴格監督循規情况，為員工提供更多教育培訓；除此之外，要規定對大量病人的資料及特別敏感資料，進行私隱影響評估；最后，當發生違反資料保安事故后，須發出資料違規通知。

    建議具體合理切實可行

    吳斌表示，他不是法官，不能判定醫管局是否失職；而他認同醫院首要職責是救死扶傷，又沒有絕對責任保證病人資料的安全，人為的錯誤是無法完全杜絕，但他覺得對醫管局的建議是可以合理地切實可行的，雖然在法律上沒有規管醫管局執行。

    吳專員又透露，現在正對一些醫院、政府部門、公營機構及豐銀行進行有關個人資料泄漏事件的調查；他表明，私隱專員公署的人手有限，公署只會對有受害人投訴及對公眾影響大的事件進行調查。醫管局對建議表示歡迎

    醫院管理局行政總裁蘇利民對視察報告所提出的建議表示歡迎，認為有助醫管局提升個人資料的系統，釐定更有系統及連貫性的措施。他表示會連同醫管局病人資料安全及私隱專責小組所提出的建議一併考慮，有信心醫管局在未來一年內能就私隱專員提出的建議作出重大改進；并實施了一系列的改進措施，特別是在技術的層面，例如加裝自動加密功能，當職員需要從臨床系統下載病人資料時，系統會自動加密檔案來進一步保障病人資料并加強系統保安，又成立一個專責隊伍，研究和制訂資料保安的改善措施，加強醫護人員認識在日常工作面對有關個人私隱的風險，確保他們會采取足夠措施保障病人資料。