7 ก.ย.64 – นพ.ธงชัย กีรติหัตถยากร รองปลัดสาธารณสุข แถลงข่าวกรณีแฮกข้อมูลผู้ป่วยว่า มีรายงานข่าวว่ามีการขายข้อมูลของโรงพยาบาลเพชรบูรณ์ ทางอินเทอร์เน็ต เมื่อวันที่ 5 ก.ย.2564 ซึ่งเราได้มีการตั้งคณะกรรมการในวันดังกล่าว เพื่อลงไปตรวจสอบข้อเท็จจริง รวมถึงประเมินความเสียหาย จากการตรวจสอบพบว่าการขายข้อมูลดังกล่าวไม่ได้อยู่ในฐานข้อมูลหลัก ในการบริการปกติของโรงพยาบาล โดยขณะนี้โรงพยาบาลสามารถดูแลคนไข้ได้อย่างปกติ
นพ.ธงชัย กล่าวว่า ทั้งนี้ฐานข้อมูลที่ได้ไปเป็นฐานข้อมูลที่เจ้าหน้าที่ได้มีการทำโปรแกรมขึ้นมาใหม่ เพื่ออำนวยความสะดวกในการดูแลคนไข้ ซึ่งเจ้าหน้าที่นำไปแปะไว้กับเซิร์ฟเวอร์ เช่น แพทย์มีคนไข้รายหนึ่งนอนอยู่ที่โรงพยาบาล จะต้องมีการตรวจสอบชาร์ตว่าหลังจากโรงพยาบาลแล้ว เพื่อสรุปชาร์ตการรักษา และระบุแพทย์คนใดที่ให้การรักษา ซึ่งตรงนี้เป็นฐานข้อมูลผู้ป่วยอยู่ประมาณ 10,095 ราย
นอกจากนี้ มีอีกฐานข้อมูล ซึ่งเป็นฐานข้อมูลผู้ป่วย เบอร์โทรศัพท์ติดต่อ เพื่อใช้ในการนัดหมายผู้ป่วย อีกส่วนเป็นฐานข้อมูลตารางเวรแพทย์ นอกจากนี้ยังมีฐานข้อมูลคำนวณรายจ่ายในการผ่าตัดมีทั้งหมด 692 ราย ใช้ในกเพื่อารจัดซื้ออุปกรณ์ ต่างๆ ซึ่งไม่เกี่ยวข้องกับฐานข้อมูลรายละเอียดเกี่ยวกับการวินิจฉัยโรค การรักษา หรือผลแล็บใดๆทั้งสิ้น
“ยืนยันว่าฐานข้อมูลทั้งหมดไม่ได้อยู่ในฐานข้อมูลของการรักษาพยาบาลทั่วๆไปของโรงพยาบาล เป็นฐานข้อมูลที่โรงพยาบาลได้สร้างเว็บเพจขึ้นมาอีกอันหนึ่ง แต่แปะอยู่ในเซิร์ฟเวอร์เดียวกันกับของโรงพยาบาล ณ วันนี้ระบบของโรงพยาบาลยังสามารถดำเนินการได้ตามปกติ เพราะฉะนั้นฐานข้อมูลทุกอย่างยังอยู่” นพ.ธงชัย กล่าว
นพ.ธงชัย ยังกล่าวอีกว่า อย่างไรก็ตาม ขณะนี้ได้มีการตรวจสอบเรื่องความเสี่ยง และแบ็คอัพข้อมูลทั้งหมด และเช็กข้อมูลทั้งหมดว่า ยังมีอะไรซ่อนอยู่ในเว็บหรือเซิร์ฟเวอร์อีกหรือไม่ โดยร่วมกับสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ กระทรวงดิจิตอล เพื่อเศรษฐกิจ และสังคม (ดีอี) กับกระทรวงสาธารณสุข จึงกราบขอโทษทุกท่าน
“ต้องกราบโทษทุกท่าน ทางโรงพยาบาลไม่ประสงค์ให้ใครมาแฮ็กข้อมูลไปได้ ผู้บริหารทุกระดับได้รับทราบ และสั่งการให้ทางสธ. กระทรวงดีอี ลงไปช่วยเหลือ ดูแล และประเมินสถานการณ์ทันที ในพื้นที่ว่ามีความสูญเสียอย่างไรบ้าง และเฝ้าระวังอย่างไรบ้าง โดยระบบของเรายังยืนยันกับทางรพ.” นพ.ธงชัยกล่าว
ด้านนพ.อนันต์ กนกศิลป์ ผอ.ศูนย์เทคโนโลยีสารสนเทศ และการสื่อสาร สำนักงานปลัด สธ. กล่าวว่า เซิร์ฟเวอร์ของรพ.เพชรบูรณ์ ที่ถูกโจมตีเป็นเซิร์ฟเวอร์ที่แยกออกมาต่างหาก ใช้สำหรับการประสานงานภายในโรงพยาบาล ไม่ได้เกี่ยวข้องในการบริการผู้ป่วยโดยตรง และอยู่ภายใต้การปกป้องด้วย Fire wall ของโรงพยาบาล เพียงแต่ว่าโรงพยาบาลได้ใช้โปรแกรมที่เป็นโอเพ่นซอฟต์ ซึ่งอาจทำให้มีจุดอ่อน สามารถบุกรุกได้
จากการตรวจสอบเบื้องต้นไม่พบว่ามีการบุกรุกข้ามไปยังเซิร์ฟเวอร์ตัวอื่น ทั้งนี้ เมื่อโรงพยาบาลเพชรบูรณ์ ทราบเรื่อง ได้มีการตัดการเชื่อมต่อจากภายนอกทั้งหมด รวมถึงตรวจสอบความเสียหายเบื้องต้น ระบบการให้บริการยังสามารถทำได้ตามปกติ ทั้งนี้ จากการที่ข้อมูลรั่วไหลในครั้งนี้ ผู้กระทำการไม่ได้มีการเรียกร้องเงิน หรือทรัพย์สินใดๆ เพียงแต่นำไปประกาศขายในเว็บไซต์
ด้านนายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ กล่าวว่า สำหรับการคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ มีพระราชบัญญัติด้านสุขภาพ 2550 มาตรา 7 ซึ่งระบุว่าข้อมูลสุขภาพของบุคคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยที่จะทำให้ข้อมูลบุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยเป็นไปตาสความประสงค์ของบุคคลนั้นโดยตรง แต่ในกรณีใดๆก็ตาม ผู้ใดจะอาศัยอำนาจตามสิทธิของกฎหมายว่าด้วยข้อมูลข่าวสารทางราชการหรือกฎหมายอื่น เพื่อขอเอกสารข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้ เพื่อคุ้มครององสิทธิของผู้ป่วยและผู้รับบริการสุขภาพ จากกรณีดังกล่าว เห็นได้ชัดว่าอาจจะก่อให้เกิดความเสียหายกับผู้ป่วยได้
ดังนั้น การกระทำในลักษณะนี้ ถ้าหากสร้างความเสียหายให้เกิดขึ้น ถือว่าเป็นการละเมิดสิทธิส่วนบุคคล ในมาตรา 49 ได้ระบุโทษขำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 6 หมื่นบาท หรือทั้งจำทั้งปรับ ทั้งนี้ความผิดสามารถยอมความได้ โดยผู้เสียหายสามารถเจรจาไกล่เกลี่ยกับผู้ละเมิดได้
