รพ.เพชรบูรณ์ ยอมรับข้อมูลคนไข้-แพทย์ ถูกแฮกไปขาย 16 ล้านบันทึก

โรงพยาบาลเพชรบูรณ์ ออกแถลงการณ์ยอมรับข้อมูลคนไข้และแพทย์ของโรงพยาบาลกว่า 16 ล้านบันทึก ถูกแฮกเกอร์โจรกรรมไปขายทางอินเทอร์เน็ต แต่ยืนยันเป็นข้อมูลทั่วไปที่ไม่กระทบต่อการรักษาผู้ป่วย พร้อมแจ้งความดำเนินคดี 

เมื่อวานนี้ (6 ก.ย.) มีบุคคลลึกลับโพสต์ประกาศขายข้อมูลผู้ป่วยของโรงพยาบาลแห่งหนึ่งในประเทศไทย เป็นข้อมูลที่มีการบันทึกการรักษาผู้ป่วยมากกว่า 16 ล้านครั้ง ทำให้ตลอดคืนที่ผ่านมา หน่วยงานของไทย ทั้งกระทรวงดีอีเอส และกระทรวงสาธารณสุข พยายามตรวจสอบว่า ข้อมูลที่ประกาศขาย มาจากกลุ่มแฮกเกอร์ ใช้วิธีเจาะระบบ หรือมาจากใครนำข้อมูลไปขายต่อ

นายแพทย์นิติ เหตานุรักษ์ ผู้อำนวยการโรงพยาบาลเพชรบูรณ์ พร้อมนิติกรประจำโรงพยาบาลฯและเจ้าหน้าที่ศูนย์คอมพิวเตอร์ร้องทุกข์ต่อพนักงานสอบสวน ตำรวจภูธรเมืองเพชรบูรณ์ เพื่อให้ดำเนินคดีกรณีถูกคนร้าย ไม่ทราบชื่อและจำนวน ลักลอบโจกรรม หรือแฮ็กข้อมูลคนไข้ ของโรงพยาบาลเพชรบูรณ์ เพื่อนำไปประกาศขายทางอินเทอร์เน็ต

ขณะที่เพจของโรงพยาบาลเพชรบูรณ์ ออกแถลงการณ์ ฉบับที่ 1 ระบุว่า โรงพยาบาลได้รับรายงานการประกาศขายข้อมูลของโรงพยาบาลในอินเทอร์เน็ต เมื่อเวลา13 นาฬิกา 30 นาที ของวันที่ 5 กันยายนที่ผ่านมา ซึ่งเป็นข้อมูลที่เกี่ยวข้องกับแพทย์และคนไข้จำนวน 10,095 คน แต่มีการบันทึกข้อมูลบุคลลเหล่านี้ 16 ล้านครั้ง หรือ 16 ล้านบันทึก

ในแถลงการณ์ อ้างอิงการตรวจสอบขั้นต้น พบว่าข้อมูลที่ประกาศขาย เป็นรายชื่อประชาชนที่ไปรับบริการโรงพยาบาล , ชื่อแพทย์ที่ดูแล และตารางแพทย์ , ข้อมูลสัญญาณชีพ วัน เวลาที่มารับบริการ สิทธิการรักษา และเลขประจำตัวผู้ป่วย

ซึ่งทั้งหมดนี้ไม่ใช่ฐานข้อมูลการรักษา ไม่มีรายละเอียดเกี่ยวกับการวินิจฉัยและรักษาโรค เป็นข้อมูลทั่วไปที่ไม่มีผลกระทบต่อการดูแลรักษา แยกเป็น 5 ฐานข้อมูล คือ

1.ข้อมูลรายชื่อเวชระเบียนผู้ป่วยใน จำนวน 10,095 คน เพื่อใช้ตรวจสอบระบบเวชระเบียน

2. ข้อมูลรายชื่อผู้ป่วยนอกที่นัดรับการรักษา 7,000 คน 

3.ข้อมูลตารางเวรแพทย์ มีเลข 13 หลักของแพทย์ผู้รักษา 39 คน เพื่อใช้ในการเข้าถึงฐานข้อมูล

4.ข้อมูลรายชื่อผู้ป่วยในการคำนวณค่าใช้จ่ายในการผ่าตัด 692 คน

5.ข้อมูลผู้ป่วยโรงพยาบาลสนาม 795 คน

ขณะนี้โรงพยาบาลตั้งคณะกรรมการแก้ไขปัญหาภาวะคุกคามทางไซเบอร์ เพื่อตรวจสอบและประเมินความเสียหาย และปิดกั้นการเข้าถึงระบบจากภายนอกแล้ว พร้อมยืนยันว่าไม่พบความเสียหายกับระบบปฎิบัติการที่ใช้ในการดูแลรักษาผู้ป่วย

ทางด้าน นายอนุทิน ชาญวีรกูล รองนายกรัฐมนตรี และรัฐมนตรีว่าการกระทรวงสาธารณสุข ยืนยันว่าข้อมูลที่ถูกโจรกรรมไป ไม่ใช่ข้อมูลที่เกี่ยวข้องกับการรักษาหรือวินิจฉัยโรคของคนไข้ และมอบให้กระทรวงสาธารณสุขชี้แจงข้อเท็จจริง

ขณะที่ นายแพทย์ ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข แถลงยอมรับข้อเท็จจริงและกล่าวขอโทษประชาชน พร้อมระบุว่าการแฮกข้อมูลครั้งนี้ แตกต่างจากการแฮกข้อมูลที่โรงพยาบาลสระบุรี ซึ่งกรณีนี้ฐานข้อมูลถูกเจาะ จนกระทบการรักษา และมีการเรียกค่าไถ่ด้วย แต่เจ้าหน้าที่แก้ปัญหาได้จึงไม่ต้องจ่ายเงิน แต่กรณี้ไม่ปรากฎมีการเรียกค่าไถ่ และฐานข้อมูลที่ถูกโจรกรรม ไม่กระทบการรักษา

ส่วน นายแพทย์ สุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ ระบุว่า กรณีนี้เป็นความผิดตามกฏหมาย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 2562 มาตรา 7 ซึ่งระบุว่าข้อมูลสุขภาพส่วนบุคคลถือเป็นสิทธิส่วนบุคคลจะเปิดเผยไม่ได้เว้นแต่จะได้รับความยินยอมจากคนนั้นนั้น หากเผยแพร่ มีโทษจำคุกไม่เกินหกเดือนหรือปรับไม่เกิน 10,000 บาทหรือทั้งจำทั้งปรับ