เอกสารชี้แจง มหาวิทยาลัยเชียงใหม่
กรณีการพบข้อมูลผู้ป่วยของโรงพยาบาลในจังหวัดเชียงใหม่ รั่วไหลจากอุปกรณ์จัดเก็บข้อมูล
ภายในคอมพิวเตอร์ Solid State Drive (SSD) M.2 ที่ถูกจำหน่ายในการประมูล ฉบับที่ 2
มหาวิทยาลัยเชียงใหม่ขอแจ้งให้ทราบเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล จากที่มีข้อมูลในสื่อสังคมออนไลน์ Drama Addict ได้กล่าวถึงเรื่องการพบข้อมูลผู้ป่วยของโรงพยาบาลในจังหวัดเชียงใหม่รั่วไหลจากอุปกรณ์จัดเก็บข้อมูลภายในคอมพิวเตอร์แบบ Solid State Drive (SSD) ประเภท M2 เมื่อวันที่ 13 ตุลาคม 2567 ซึ่งมีการกล่าวอ้างว่าได้มาจากการประมูลจากตลาดที่อยู่ใน Facebook Group นั้น มหาวิทยาลัยเชียงใหม่ได้ดำเนินการตรวจสอบไปยังโรงพยาบาลมหาราชนครเชียงใหม่ คณะแพทยศาสตร์ มหาวิทยาลัยเชียงใหม่พบว่า SSD ดังกล่าวไม่ได้ถูกจำหน่ายออกไปโดยโรงพยาบาล อีกทั้งโรงพยาบาลยังมีมาตรการในการรักษาความมั่นคงปลอดภัยไซเบอร์อย่างเคร่งครัด ทั้งด้านองค์กร เทคนิค และกายภาพของการเข้าถึงข้อมูลดังกล่าว
มหาวิทยาลัยได้ทำการประสานงานไปยังสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เพื่อทำการอายัติ SSD ดังกล่าวทันที อย่างไรก็ตาม หลังจากที่ สกมช. ได้รับและตรวจสอบ SSD ที่มีข้อมูลดังกล่าว ปรากฏว่ามีข้อมูลของโรงพยาบาลมหาราชนครเชียงใหม่ จำนวนข้อมูลประมาณ 500 รายการ (Records) โดยพบว่าข้อมูลที่รั่วไหลดังกล่าวประกอบด้วย หมายเลขบัตรประชาชน หมายเลขโทรศัพท์ วันเดือนปีเกิด วัคซีนโควิดที่เคยได้รับ อย่างไรก็ตามไม่พบว่ามีการคัดลอกข้อมูล นำข้อมูลไปใช้ในทางที่ผิด หรือนำชุดข้อมูลดังกล่าวออกเผยแพร่สู่สาธารณะ
ทั้งนี้ มหาวิทยาลัยอยู่ระหว่างการสอบสวนข้อเท็จจริงเกี่ยวกับเหตุการณ์ดังกล่าว และได้ดำเนินการตามกฎหมายอย่างเคร่งครัด โดยประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) เพื่อให้มั่นใจว่ามาตรการที่ดำเนินการเป็นไปตามมาตรฐานที่กำหนด และเพื่อความปลอดภัยของข้อมูลส่วนบุคคลของท่าน มหาวิทยาลัย ขอให้ท่านเพิ่มความระมัดระวังการถูกหลอกลวงจากมิจฉาชีพที่อาจแอบอ้างชื่อโรงพยาบาล หรือมหาวิทยาลัย เพื่อทำการทุจริตในรูปแบบต่างๆ
มหาวิทยาลัยขออภัยเป็นอย่างสูงสำหรับเหตุการณ์ที่เกิดขึ้นในครั้งนี้ และมหาวิทยาลัยขอยืนยันถึงความมุ่งมั่นในการปกป้องข้อมูลส่วนบุคคลของทุกท่านอย่างดีที่สุด พร้อมทั้งพัฒนามาตรการด้านความปลอดภัยอย่างต่อเนื่องต่อไป
หากท่านประสงค์ที่จะรับทราบข้อมูลเพิ่มเติม กรุณาติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยเชียงใหม่ ผ่านอีเมล dpo@cmu.ac.th หรือหมายเลขโทรศัพท์ประสานงานของโรงพยาบาลมหาราชนครเชียงใหม่ (053) 935919
มหาวิทยาลัยเชียงใหม่
18 ตุลาคม 2567